Los investigadores de seguridad de Mozilla han revelado que el modelo de inteligencia artificial Mythos, desarrollado por Anthropic, ha descubierto miles de vulnerabilidades de software de alta gravedad en el navegador Firefox, incluyendo errores que permanecieron ocultos durante más de una década. Según el informe publicado el jueves, la herramienta de IA representa un avance significativo en la detección de vulnerabilidades de software, marcando un punto de inflexión en cómo los equipos de seguridad pueden identificar y corregir fallos críticos.
Mozilla informó que Firefox implementó 423 correcciones de errores en abril de 2026, en comparación con solo 31 en el mismo mes del año anterior. Este aumento dramático se atribuye directamente a las capacidades del modelo Mythos, que Anthropic presentó públicamente en abril con advertencias sobre su potencia para identificar fallos de seguridad.
Vulnerabilidades de software descubiertas por Mythos
Los investigadores de Mozilla proporcionaron detalles sobre 12 vulnerabilidades específicas identificadas por el sistema de IA. Estos fallos incluyen dos vulnerabilidades inusuales en el sistema sandbox del navegador y un error de 15 años en el análisis de elementos HTML. Sin embargo, la capacidad de encontrar vulnerabilidades en el sandbox resulta particularmente impresionante, dado que explotar estos fallos requiere ataques complejos y multifacéticos.
Brian Grinstead, ingeniero distinguido de Mozilla, explicó a TechCrunch que el programa de recompensas de errores de Mozilla paga hasta $20,000 por vulnerabilidades en el sandbox, la suma más alta disponible. A pesar de este incentivo económico, Mythos está encontrando más problemas de sandbox que los investigadores humanos, según indicó Grinstead.
Avances en las herramientas de detección de vulnerabilidades
El rendimiento de Mythos representa una mejora sustancial respecto a lo que las herramientas de IA podían lograr hace apenas seis meses. Anteriormente, las herramientas de detección de errores basadas en inteligencia artificial generaban grandes cantidades de reportes de baja calidad y falsos positivos que saturaban a los equipos de seguridad. Los investigadores de Mozilla señalaron que la nueva generación de sistemas agénticos puede evaluar su propio trabajo y filtrar resultados incorrectos.
“Es difícil exagerar cuánto cambió esta dinámica para nosotros en unos pocos meses”, escribieron los investigadores. Atribuyeron este progreso a dos factores: modelos significativamente más capaces y técnicas mejoradas para aprovechar estos sistemas de IA.
Limitaciones en la corrección automatizada
A pesar de los avances documentados en herramientas de programación con IA, el equipo de Firefox aún no utiliza inteligencia artificial para corregir los errores detectados. Mozilla solicita a la IA que genere parches de código para cada fallo, pero el código resultante generalmente no puede implementarse directamente y sirve como modelo para un ingeniero humano.
Grinstead confirmó que cada una de las vulnerabilidades mencionadas en el informe fue corregida por un ingeniero y revisada por otro. “No hemos encontrado que sea automatizable”, afirmó el ingeniero, subrayando las limitaciones actuales de la tecnología en la fase de reparación.
Implicaciones para la seguridad cibernética
El impacto a largo plazo de estas capacidades emergentes de IA en el equilibrio de poder en ciberseguridad permanece incierto. A un mes de la presentación de Mythos, la mayoría de los errores descubiertos probablemente no han sido corregidos, lo que dificulta capturar el alcance completo de su impacto. Además, es probable que actores maliciosos estén utilizando técnicas similares de manera encubierta, aunque con modelos menos sofisticados.
Dario Amodei, CEO de Anthropic, expresó optimismo en un evento reciente, sugiriendo que las nuevas herramientas de detección de vulnerabilidades favorecerán eventualmente a los defensores. “Si manejamos esto correctamente, podríamos estar en una mejor posición que al principio, porque corregimos todos estos errores”, declaró Amodei, argumentando que existe un número finito de vulnerabilidades por descubrir.
Grinstead ofreció una perspectiva más cautelosa, reconociendo que la herramienta es útil tanto para atacantes como para defensores. La disponibilidad de Mythos podría desplazar ligeramente la ventaja hacia la defensa, aunque el ingeniero admitió que nadie conoce realmente la respuesta definitiva todavía. La comunidad de seguridad cibernética continuará monitoreando cómo estas tecnologías transforman el panorama de amenazas mientras más organizaciones implementan sistemas similares de detección automatizada de vulnerabilidades de software.