Mozilla reveló los bugs que encontró en Firefox gracias a Claude Mythos, la IA de Anthropic

Mozilla acaba de abrir el telón sobre algo que lleva meses ocurriendo en silencio, y la historia es tan impresionante como inquietante. La organización detrás de Firefox decidió publicar una muestra de los informes de bugs que una inteligencia artificial detectó en su navegador, y los resultados cambian por completo la forma en que pensamos sobre la seguridad del software.

Se trata de Claude Mythos Preview, el modelo más avanzado de Anthropic, diseñado específicamente para tareas de ciberseguridad de alto nivel. En pocas semanas, esta IA identificó 271 vulnerabilidades en Firefox 148, la mayoría de las cuales ya fueron corregidas con el lanzamiento de Firefox 150. Para poner esa cifra en contexto, en todo 2025 Mozilla había gestionado una fracción de ese número de bugs críticos. Esto no es una mejora incremental, es un salto de otra magnitud. 

Más de 10 vulnerabilidades expuestas al detalle: lo que encontró la IA

Lo más llamativo del anuncio no es solo la cantidad de bugs, sino la complejidad de los que Mozilla decidió revelar públicamente. La organización publicó una tabla con más de 10 vulnerabilidades concretas, cada una con su descripción técnica detallada, para demostrar que estos hallazgos no son ruido generado por la IA, sino problemas reales y explotables.

Algunos ejemplos dejan sin palabras. Uno de los bugs llevaba 15 años escondido en el elemento HTML <legend>, activado solo al combinar de forma muy precisa límites de recursión, propiedades expando y ciclos de recolección de basura. Otro involucraba un bug de XSLT con 20 años de antigüedad en el que llamadas reentrantes a una función de tabla hash liberaban memoria mientras aún se usaba un puntero activo.

Hay más. La IA también detectó una condición de carrera explotable a través de IPC que permitía a un proceso comprometido manipular contadores de referencia en IndexedDB del proceso padre, logrando un escape del sandbox, esa capa de protección que aísla los procesos de renderizado del sistema operativo. Y encontró un desbordamiento de entero de 16 bits en tablas HTML con rowspan=0 que había pasado desapercibido durante años incluso frente a herramientas de fuzzing automatizadas.

De las 271 vulnerabilidades confirmadas en Firefox 150, 180 fueron clasificadas como de alta severidad, 80 como moderadas y 11 como de baja severidad. Eso significa que la gran mayoría representaban amenazas reales que podían activarse con un comportamiento de usuario completamente normal, como simplemente navegar a una página web.

Cómo Mozilla construyó un pipeline de seguridad con IA

El proceso no fue tan sencillo como darle acceso al código fuente a la IA y esperar resultados. Mozilla construyó toda una infraestructura de análisis automatizado apoyada en su sistema de fuzzing existente, con múltiples máquinas virtuales trabajando en paralelo, cada una analizando partes específicas del código de Firefox.

Todo empezó meses antes con Claude Opus 4.6, un modelo anterior de Anthropic, que en apenas dos semanas ya había encontrado 22 vulnerabilidades en Firefox con 14 clasificadas como de alta gravedad. El modelo tardó solo minutos en detectar el primer fallo crítico, y mientras los ingenieros validaban ese hallazgo, la IA ya había encontrado cincuenta errores más. 

Cuando Claude Mythos Preview entró en escena, el pipeline ya estaba rodado y los resultados se multiplicaron. El sistema no solo identificaba problemas, también generaba casos de prueba reproducibles que los ingenieros podían ejecutar directamente para verificar cada bug. Esto eliminó uno de los mayores obstáculos históricos en este tipo de auditorías, que era la gran cantidad de falsos positivos que consumen tiempo y recursos.

Más de 100 personas de Mozilla contribuyeron con código para corregir todas estas vulnerabilidades, en lo que ha sido descrito internamente como un esfuerzo de largo aliento con días de trabajo intenso. Las correcciones no se publicaron todas en Firefox 150, sino que se distribuyeron también en versiones como 149.0.2, 150.0.1 y 150.0.2.

La seguridad del software nunca volverá a ser la misma

Mozilla es directa en su evaluación, y vale la pena tomársela en serio. Según la organización, “los defensores tienen la oportunidad de ganar” por primera vez en mucho tiempo, porque la IA abarata enormemente el costo de encontrar vulnerabilidades antes que los atacantes. 

La lógica es simple pero poderosa. Históricamente, encontrar un solo bug crítico podía costar meses de trabajo de un investigador de élite. Un atacante motivado podía invertir ese tiempo y dinero porque el premio era grande. Ahora, herramientas como Claude Mythos pueden hacer ese mismo trabajo en días, lo que reduce la ventaja asimétrica que siempre tuvo el lado ofensivo. 

Pero no todo es optimismo. El mismo Mozilla reconoce que estas capacidades conllevan un riesgo de doble uso. Una IA que puede encontrar vulnerabilidades para proteger también puede, en teoría, ser utilizada para explotarlas. Por eso el llamado de Mozilla al ecosistema es urgente y claro, cualquier proyecto de software debería empezar a usar estas herramientas hoy mismo, antes de que otros lo hagan primero. 

Mozilla apunta que aún no han encontrado el fondo de todos los bugs latentes en Firefox, pero la dirección es positiva. En el futuro próximo, el plan es integrar este análisis directamente en el sistema de integración continua del navegador, de modo que cada parche de código sea escaneado automáticamente antes de llegar a producción. La seguridad proactiva, a escala y en tiempo real, ya no es un sueño de laboratorio.

Sigue leyendo:
• Mythos de Anthropic: Powell, Bessent y bancos se reúnen para analizar su amenaza
• Usuarios sin permiso accedieron a Claude Mythos, el modelo de IA que Anthropic se negó a lanzar al público
• Anthropic presenta Mythos, un modelo de IA “demasiado peligroso para el público”