Cuando Anthropic presentó su nuevo modelo Mythos en abril, también lanzó una severa advertencia a cualquiera que desarrollara software. El modelo era tan poderoso para detectar vulnerabilidades de software, afirmó el laboratorio, que había descubierto miles de errores de alta gravedad que debían corregirse antes de que pudiera hacerse público.
Ahora, los investigadores de seguridad del navegador Firefox de Mozilla están brindando una mirada más cercana a cómo se ha visto ese proceso en la práctica y qué significan los poderes de Mythos para la seguridad del software en general.
En una publicación publicada el jueves, Mozilla dijo que Mythos ha descubierto una gran cantidad de errores de alta gravedad, incluidos algunos que habían permanecido inactivos en el código durante más de una década.
Esa es una mejora significativa con respecto a lo que las herramientas de seguridad de IA eran capaces de hacer incluso hace seis meses. Hasta ahora, las herramientas de búsqueda de errores de IA han tenido graves inconvenientes, que a menudo inundan a los equipos de seguridad con informes de baja calidad y falsos positivos. Pero los investigadores de Mozilla dicen que la última generación de herramientas ha dado un paso adelante, particularmente ahora que los sistemas agentes pueden evaluar su propio trabajo y filtrar los malos resultados.
«Es difícil exagerar cuánto cambió esta dinámica para nosotros en unos pocos meses», escribieron los investigadores. «Primero, los modelos se volvieron mucho más capaces. Segundo, mejoramos dramáticamente nuestras técnicas para aprovechar estos modelos”.
Los resultados son sorprendentes: en abril de 2026, Firefox envió 423 correcciones de errores, en comparación con solo 31 exactamente un año antes. Los investigadores también publicaron detalles sobre 12 de los errores, que van desde un par de vulnerabilidades inusuales en la zona de pruebas hasta un error de hace 15 años en la forma en que el navegador analiza un elemento HTML.
«De repente, estas cosas son muy buenas», dijo a TechCrunch Brian Grinstead, un distinguido ingeniero de Mozilla. «Lo vemos en nuestro propio escaneo interno, lo vemos en informes de errores externos y lo vemos en todo tipo de señales en toda la industria».
Evento tecnológico
San Francisco, California
|
13-15 de octubre de 2026
El hecho de que el sistema haya ayudado a revelar vulnerabilidades en el sistema “sandbox” de Firefox es particularmente impresionante, dado lo complejo que debe ser un ataque que las explote. Para encontrar vulnerabilidades en el sandbox, el modelo debe escribir un parche comprometido para el navegador y luego atacar la parte más segura del software con el nuevo código implementado. Encontrar y demostrar el error es un proceso delicado que consta de varios pasos y requiere creatividad y mucha atención.
Para poner esto en contexto, el programa de recompensas por errores de Mozilla paga a los investigadores que pueden encontrar un error en la zona de pruebas de Firefox hasta 20.000 dólares, la recompensa más alta disponible. Sin embargo, a pesar de la gran recompensa, Grinstead dice que Mythos está encontrando más problemas en el sandbox que los investigadores humanos. «Los obtenemos», dijo a TechCrunch, «pero no en el volumen que podemos encontrar con esta técnica».
En particular, el equipo de Firefox todavía no utiliza IA para corregir los errores, a pesar del progreso bien documentado en las herramientas de codificación de IA. El equipo le pide a la IA que codifique parches para cada error, pero el código resultante generalmente no se puede implementar directamente y, en cambio, sirve como modelo para un ingeniero humano.
«Para los errores de los que estamos hablando en esta publicación, cada uno de ellos es un ingeniero que escribe un parche y un ingeniero que lo revisa», dice Grinstead. «No hemos descubierto que sea automatizable».
Todavía no está claro cómo las capacidades emergentes de la IA cambiarán el equilibrio de poder más amplio en ciberseguridad. Un mes después de la vista previa de Mythos, es probable que la mayoría de los errores descubiertos no hayan sido corregidos, lo que dificulta capturar el alcance total de su impacto. Anthropic ha sido escrupuloso a la hora de seguir normas de divulgación responsable, pero es probable que los malos actores estén utilizando técnicas similares detrás de escena, incluso si los modelos que utilizan no son tan buenos.
En un evento reciente, el director ejecutivo de Anthropic, Dario Amodei, se mostró optimista en cuanto a que las nuevas herramientas finalmente favorecerían a los defensores. «Si manejamos esto correctamente, podríamos estar en una mejor posición que al principio, porque solucionamos todos estos errores. Hay muchos errores por encontrar», dijo Amodei. «Así que creo que hay un mundo mejor al otro lado de esto».
Habiendo abordado los detalles más importantes, Grinstead tiene una visión más mesurada: «Es útil tanto para los atacantes como para los defensores, pero tener la herramienta disponible desplaza un poco la ventaja hacia la defensa. Siendo realistas, nadie sabe la respuesta a esto todavía».
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
