IA encuentra fallas críticas en Firefox en alianza con Mozilla | Keryc
Anthropic y Mozilla trabajaron juntos para probar qué tan bien una IA puede encontrar fallas graves en un navegador moderno. El experimento usó a Claude Opus 4.6 y terminó con reportes que ayudaron a corregir problemas en Firefox 148.0 para cientos de millones de usuarios.
Qué pasó
En un corto experimento, Claude Opus 4.6 identificó 22 vulnerabilidades en Firefox; Mozilla determinó que 14 de ellas eran de alta severidad. Para ponerlo en contexto: esas 14 representan casi una quinta parte de todas las vulnerabilidades de alta severidad que Firefox remedió en 2025.
Primero, Claude reprodujo muchos CVE históricos en versiones antiguas del código de Firefox. Luego se le pidió buscar errores nuevos en la versión actual: empezó por el motor de JavaScript y después amplió a otras áreas. Tras apenas veinte minutos de exploración, reportó un Use After Free, un tipo de vulnerabilidad de memoria crítica.
El equipo validó el hallazgo en máquinas virtuales, preparó un reporte con una posible corrección (la patch fue propuesta por Claude y revisada por humanos) y lo envió a Bugzilla, el rastreador de Mozilla. En total se escanearon cerca de 6,000 archivos C++ y se enviaron 112 reportes únicos; la mayoría se arregló en Firefox 148.0 y el resto se corregirá en versiones futuras.
Cómo colaboraron Claude y Mozilla
La dinámica fue práctica: Anthropic generó muchos reportes y Mozilla ayudó a definir qué valía la pena enviar oficialmente. En lugar de validar cada caso, Mozilla alentó a presentar hallazgos en bloque, lo que aceleró el proceso de triage.
Mozilla también fue transparente con su triage y sus pruebas, y eso permitió ajustar el flujo de trabajo para evitar falsos positivos. Como resultado, los investigadores de Mozilla incluso comenzaron a experimentar internamente con Claude.
La colaboración muestra un modelo operativo: IA que busca fallas y mantenedores que priorizan, verifican y parchean.
¿Puede la IA explotarlas?
Anthropic no solo pidió a Claude que encuentre bugs; le dio acceso a los hallazgos y le pidió que intentara convertirlos en exploits reales. El objetivo mínimo para demostrar un exploit fue leer y escribir un archivo local en el sistema objetivo.
Gastando aproximadamente 4,000 dólares en pruebas, Claude logró convertir la vulnerabilidad en un exploit funcional en solo dos casos. Eso deja dos conclusiones claras: Claude es mejor encontrando vulnerabilidades que explotándolas, y desarrollar exploits cuesta mucho más que identificar fallas.
Además, los exploits que funcionaron eran "rudimentarios" y solo operaban en un entorno de pruebas donde se habían desactivado protecciones reales como la sandbox. Firefox cuenta con una estrategia de defensa en profundidad que reduce el riesgo en escenarios reales, aunque no es infalible.
Consejos prácticos para mantenedores y equipos de seguridad
Si trabajas manteniendo software, esta etapa es una invitación a mejorar procesos. Algunas prácticas útiles que surgieron de esta experiencia:
Usar verificadores de tarea (task verifiers) que confirmen automáticamente si una solución elimina la vulnerabilidad y si mantiene la funcionalidad.
Probar parche propuestas con tests automatizados para detectar regresiones.
Incluir evidencia clara al enviar reportes: casos de prueba mínimos, pruebas de concepto detalladas y parches candidatos.
Respaldar el proceso con un protocolo de Divulgación Coordinada de Vulnerabilidades (CVD) para trabajar con investigadores externos sin poner a los usuarios en riesgo.
Estas medidas facilitan que los mantenedores confíen en reportes generados por herramientas con IA y aceleren el arreglo de fallas reales.
¿Y ahora qué sigue?
La radiografía es clara: los modelos de frontera son ya investigadores de vulnerabilidades de alto nivel. Anthropic usó a Opus 4.6 también en otros proyectos importantes, como el kernel de Linux, y anuncia herramientas para llevar estas capacidades a mantenedores y clientes.
Hoy, los defensores llevan la ventaja: encontrar y parchear sigue siendo más fácil que construir exploits totalmente funcionales. Pero la brecha puede cerrarse con rapidez. ¿Qué significa eso para ti como desarrollador o responsable de producto? Que este es el momento de reforzar prácticas de seguridad, automatizar verificaciones y colaborar con investigadores.
Si te interesa participar en estos esfuerzos, Anthropic ofrece iniciativas y convocatorias para ampliar la búsqueda y corrección de vulnerabilidades en código abierto.
La noticia es a la vez oportunidad y advertencia: la IA acelera la detección en una ventana útil para los defensores, pero nos exige modernizar procesos y ser proactivos antes de que las capacidades ofensivas alcancen al mismo ritmo.
