La seguridad del software ha evolucionado a lo largo de los años a medida que los sistemas se vuelven más complejos, pero la aparición de modelos de inteligencia artificial capaces de analizar grandes bases de código introduce un nuevo elemento en la ecuación. En este contexto, Firefox se ha convertido recientemente en uno de los ejemplos más ilustrativos. Mozilla y Anthropic colaboraron para probar qué tan bien los modelos actuales sirven como investigadores de seguridad automatizados y cómo estas herramientas pueden cambiar la forma en que se descubren y remedian las vulnerabilidades.

El experimento se realizó utilizando uno de los modelos más avanzados de Anthropic, Claude Opus 4.6, Responsable de analizar diferentes partes del código del navegador.. Según detalles publicados por la empresa y Mozilla, el sistema El primer fallo grave se descubrió apenas veinte minutos después de iniciado el análisislocalice vulnerabilidades en el motor JavaScript de Firefox. El primero encontrado corresponde al siguiente tipo de error Usar después gratisuna clase de vulnerabilidades de memoria que, bajo ciertas circunstancias, pueden permitir que un atacante sobrescriba datos con contenido malicioso.

Desde entonces, el proceso de análisis se ha expandido a otras áreas del navegador. En aproximadamente dos semanas de trabajo, el modelo examinó miles de archivos de código (incluidos casi 6000 archivos C++) y generó más de cien informes técnicos. Después de la revisión por parte de los ingenieros de Mozilla, el resultado final es Identificadas 22 vulnerabilidades registradas oficialmente como CVE,en 14 clasificados como de alta gravedadtambién Otros 90 fracasaron La gravedad es leve. Todas estas preguntas son Corregido en la versión 148 de Firefox..

Uno de los aspectos más sorprendentes del experimento fueron los tipos de errores que la IA pudo detectar. Muchos de los errores encontrados coincidían con errores encontrados tradicionalmente mediante técnicas automatizadas como las pruebas fuzz, que someten el software a una gran cantidad de entradas inesperadas que provocan su fallo. Sin embargo, este modelo También busca identificar errores lógicos complejos que estos sistemas no habían detectado previamente.lo que demuestra que el análisis asistido por IA puede complementar las herramientas de seguridad existentes en proyectos grandes y maduros como Firefox.

Para ver hasta dónde podían llegar estas capacidades, Anthropic realizó más experimentos, Pruebe si el modelo también puede convertir las vulnerabilidades detectadas en vulnerabilidades funcionales.es decir, un ataque capaz de realizar operaciones maliciosas. Después de cientos de intentos y aproximadamente $4,000 en créditos API, Claude solo logró generar Vulnerabilidades básicas en dos casos concretosy en entornos de prueba donde se han desactivado algunas protecciones clave del navegador, como los sistemas sandbox que limitan el impacto de dichas fallas.

Los resultados resaltan una diferencia importante: encontrar vulnerabilidades ahora es mucho más sencillo y menos costoso que explotarlas automáticamente, al menos dadas las capacidades actuales de los modelos de IA. Sin embargo, Esto también refleja la naturaleza bilateral de esta tecnología.. Los actores maliciosos también pueden crear vulnerabilidades utilizando las mismas herramientas que ayudan a los desarrolladores y equipos de seguridad a localizar errores más rápidamente. En otras palabras, la IA es al mismo tiempo una poderosa herramienta defensiva y un acelerador de nuevas amenazas.

El caso de Firefox es un buen ejemplo de esta nueva situación. Incluso en un proyecto que ha estado abierto y examinado exhaustivamente durante décadas, el análisis asistido por IA Han podido descubrir errores hasta ahora desapercibidos. Para Mozilla, el experimento demuestra el valor de integrar estas herramientas en el proceso de seguridad. Pero también es un recordatorio de que la competencia entre quienes buscan corregir vulnerabilidades y quienes intentan explotarlas probablemente se acelerará significativamente en los próximos años.

Más información: Antropicic/Mozilla