Firefox resuelve en un mes 423 errores de seguridad, incluyendo uno de 20 años, gracias a la IA de Anthropic

Mozilla ha revelado cómo la inteligencia artificial avanzada está transformando la ciberseguridad en la defensa de software. En abril de 2026, la compañía corrigió 423 vulnerabilidades de seguridad en Firefox tras acceder a Claude Mythos Preview, desarrollado por Anthropic. Esta cifra contrasta con los aproximadamente 420 parches aplicados en los 14 meses anteriores.

El hallazgo más destacado es un error de 20 años de antigüedad, identificado como Bug 2025977. Se trata de un problema de reentrancia en XSLT que permitía llamadas a key() para desencadenar una reestructuración de la tabla hash, liberar memoria y dejar punteros activos en uso. Otro fallo relevante, el Bug 2024437, data de hace 15 años y afecta al elemento HTML legend.

Estos defectos, enterrados en subsistemas antiguos o interacciones complejas, suelen pasar desapercibidos en pruebas convencionales, fuzzing o revisiones manuales. Sin embargo, la IA logró identificarlos y priorizarlos en un tiempo récord.

Impacto y clasificación de las vulnerabilidades

De los 271 errores corregidos en Firefox 150, 180 fueron clasificados como de gravedad alta (sec-high), 80 como moderados (sec-moderate) y 11 como leves (sec-low). La mayoría de los fallos de alta gravedad podían activarse con acciones cotidianas del usuario, como visitar una página web, lo que los sitúa en una categoría operativa crítica.

Mozilla subrayó que estos hallazgos se produjeron en un navegador altamente maduro y auditado, sometido a pruebas internas, externas, fuzzing, programas de recompensas por errores y ataques durante años. Esto refuerza la importancia del avance: la IA no solo aceleró el proceso, sino que reveló riesgos latentes en un sistema ya considerado seguro.

De la detección a la corrección: el papel clave de la IA

Anteriormente, los informes de seguridad generados por IA solían presentar un alto nivel de ruido, con afirmaciones plausibles pero incorrectas. Esto generaba una asimetría: generar reclamaciones era barato, pero validarlas consumía tiempo valioso de ingenieros experimentados.

La situación cambió con modelos como Claude Mythos Preview. Mozilla implementó un sistema de gestión automatizado que:

• Dirige a la IA hacia áreas específicas del código.
• Genera casos de prueba reproducibles.
• Filtra resultados irrelevantes o duplicados.
• Clasifica la gravedad de los fallos.
• Integra los errores confirmados en el ciclo de desarrollo de seguridad.

Este entorno de soporte fue crucial. La IA proporcionó la capacidad de descubrimiento, pero fue el sistema automatizado el que convirtió esos hallazgos en informes verificados y parches reales.

Un futuro con inteligencia artificial en la ciberseguridad

El caso de Firefox demuestra cómo la IA puede revolucionar la detección de vulnerabilidades en proyectos de código abierto. Mozilla destacó que, aunque el modelo ofreció un poder de descubrimiento sin precedentes, su verdadero valor radica en la integración con procesos humanos y automatizados.

Entre los ejemplos más preocupantes revelados en el informe técnico de Mozilla se encuentra un error en WebAssembly GC que podría crear primitivos de objetos falsos con capacidad de lectura o escritura arbitraria, así como condiciones de carrera en IPC que afectan a referencias del proceso padre.

«La IA no solo acelera la identificación de fallos, sino que expone riesgos que, de otro modo, podrían permanecer ocultos durante años en sistemas complejos y bien establecidos».

— Declaración de Mozilla sobre el uso de Claude Mythos Preview