Por Canuto Una colaboración entre Anthropic y Mozilla dejó una señal clara para la industria: los modelos de IA ya pueden encontrar vulnerabilidades severas en software crítico con una velocidad inédita. En apenas dos semanas, Claude Opus 4.6 detectó 22 fallas en Firefox, de las cuales 14 fueron clasificadas por Mozilla como de alta severidad.
***
- Claude Opus 4.6 descubrió 22 vulnerabilidades en Firefox en dos semanas, incluidas 14 de alta severidad.
- Mozilla integró varios de esos arreglos en Firefox 148 tras recibir 112 reportes únicos de Anthropic.
- Anthropic advirtió que la IA aún es mejor encontrando y corrigiendo fallas que explotándolas, pero la brecha podría cerrarse.
🚨 Claude Opus 4.6 identificó 22 vulnerabilidades en Firefox en solo 2 semanas.
De estas, 14 fueron clasificadas como de alta severidad por Mozilla.
Esta colaboración muestra el avance de la IA en la detección de fallas críticas en software crucial.
Mozilla ya integró… pic.twitter.com/KTNefdLeWD
— Diario฿itcoin (@DiarioBitcoin) March 7, 2026
La colaboración entre Anthropic y Mozilla ofrece una nueva muestra del salto que están dando los modelos de inteligencia artificial en ciberseguridad. Según detalló Anthropic, Claude Opus 4.6 descubrió 22 vulnerabilidades en Firefox durante un lapso de dos semanas, un resultado que Mozilla tradujo en 14 fallas catalogadas como de alta severidad.
La cifra no es menor. De acuerdo con la propia empresa, esas 14 vulnerabilidades equivalen a casi una quinta parte de todas las fallas de alta severidad de Firefox corregidas en 2025. El dato sugiere que la IA ya no solo sirve para asistir tareas de programación, sino también para acelerar de forma concreta la detección de errores críticos en software ampliamente usado.
Para entender la relevancia del anuncio, conviene recordar que Firefox es uno de los navegadores de código abierto más auditados y probados del mundo. Cientos de millones de usuarios dependen de este tipo de software para interactuar a diario con contenido no confiable en la web, por lo que cualquier vulnerabilidad en ese entorno puede tener implicaciones serias.
Anthropic explicó que la mayor parte de los problemas detectados ya fueron corregidos en Firefox 148, mientras que los restantes se resolverán en versiones posteriores. Mozilla, por su parte, ayudó a la empresa a filtrar cuáles hallazgos ameritaban reportes formales y cómo debían presentarse para facilitar su clasificación técnica.
De una evaluación interna a una colaboración con Mozilla
El origen del trabajo estuvo en una serie de pruebas internas de Anthropic. A finales de 2025, la compañía observó que Opus 4.5 estaba cerca de resolver todas las tareas de CyberGym, un benchmark diseñado para medir si grandes modelos de lenguaje pueden reproducir vulnerabilidades conocidas.
Con ese antecedente, el equipo quiso construir una evaluación más exigente. Para ello creó un conjunto de datos con CVEs históricos de Firefox y puso a Claude a intentar reproducir esas vulnerabilidades en versiones antiguas del código. La elección del navegador respondió a su complejidad técnica y a su reputación como uno de los proyectos de código abierto más seguros del ecosistema.
Los investigadores quedaron sorprendidos cuando Opus 4.6 consiguió reproducir un alto porcentaje de esos CVEs históricos. Sin embargo, Anthropic reconoció una limitación importante: parte de esas vulnerabilidades previas podía haber estado ya presente en los datos de entrenamiento del modelo, por lo que esa prueba no bastaba para medir su capacidad real de hallazgo novedoso.
Para despejar esa duda, la empresa pasó a una prueba mucho más exigente: pedirle a Claude que encontrara vulnerabilidades nuevas en la versión actual de Firefox. El foco inicial fue el motor de JavaScript del navegador, tanto por ser una parte relativamente aislada del código base como por su enorme superficie de ataque, ya que procesa código externo no confiable al navegar por internet.
El primer hallazgo llegó en veinte minutos
Anthropic señaló que, tras solo veinte minutos de exploración, Claude Opus 4.6 reportó haber identificado una vulnerabilidad del tipo use-after-free en el motor de JavaScript. Este tipo de fallo de memoria puede abrir la puerta a que un atacante sobrescriba datos con contenido malicioso arbitrario.
Uno de los investigadores de la empresa validó el error en una máquina virtual independiente con la última versión de Firefox. Luego otros dos investigadores de Anthropic confirmaron el hallazgo. Después de esa validación, el equipo presentó un informe en Bugzilla, el sistema de seguimiento de errores de Mozilla, junto con una descripción técnica del problema y una propuesta de parche escrita por Claude y revisada por humanos.
Mientras ese primer caso era validado y remitido, el modelo ya había detectado otras 50 entradas de bloqueo únicas. Tras conversaciones técnicas con investigadores de Mozilla, Anthropic recibió una recomendación clave: enviar los hallazgos en bloque, incluso si no todos los casos de prueba estaban completamente validados o si no estaba claro que todos tuvieran impacto de seguridad.
Al cierre de esta fase, Anthropic había escaneado casi 6.000 archivos C++ y remitido 112 informes únicos. Ese conjunto incluyó las vulnerabilidades de severidad alta y moderada mencionadas en el reporte. La compañía subrayó que, al analizar software externo, siempre existe el riesgo de falsos positivos, por lo que agradeció la transparencia de Mozilla durante el proceso de clasificación.
La IA encuentra más fallas de las que puede explotar
Además de la búsqueda de errores, Anthropic construyó una nueva evaluación para medir si Claude también podía explotar algunas de las vulnerabilidades encontradas. El objetivo era calcular el límite superior de sus capacidades ofensivas y entender si el modelo podía desarrollar herramientas similares a las que usaría un atacante.
Para ello, el equipo le dio al modelo acceso a las vulnerabilidades ya reportadas a Mozilla y le pidió construir exploits para cada una. La prueba exigía una demostración real de compromiso: leer y escribir un archivo local en un sistema objetivo, una acción que imita parte del comportamiento de un ataque exitoso.
Anthropic ejecutó esta prueba varios cientos de veces con distintos puntos de partida y gastó aproximadamente USD $4.000 en créditos de API. Aun así, Opus 4.6 solo logró convertir la vulnerabilidad en un exploit funcional en dos casos. Según la empresa, eso deja dos conclusiones: el modelo es mucho mejor encontrando errores que explotándolos, y detectar vulnerabilidades resulta un orden de magnitud más barato que desarrollar un exploit.
No obstante, la empresa consideró preocupante que Claude haya podido generar de forma automática un exploit simple para navegador, aunque solo fuera en unos pocos casos. También aclaró que esos exploits funcionaron exclusivamente en un entorno de prueba donde se habían deshabilitado de forma intencional algunas protecciones presentes en navegadores modernos, en especial la sandbox.
Por qué el parcheo asistido por IA gana relevancia
Más allá del hallazgo de fallas, el reporte pone énfasis en cómo los mantenedores pueden usar modelos de IA para clasificar y corregir errores con mayor rapidez. Anthropic dijo que, en su experiencia, Claude funciona mejor cuando puede verificar su propio trabajo con herramientas externas confiables.
La empresa llama a esas herramientas “verificadores de tareas”. En esencia, se trata de métodos que permiten comprobar si la salida del agente realmente cumple su objetivo. En el caso del parcheo de seguridad, eso implica verificar al menos dos cosas: que la vulnerabilidad haya desaparecido y que la funcionalidad original del programa se conserve sin regresiones.
Para ese fin, Anthropic construyó sistemas que probaban automáticamente si el error original seguía pudiendo activarse después de una corrección propuesta. En paralelo, ejecutó suites de pruebas para detectar si el parche rompía otra parte del software. La compañía sostuvo que este tipo de retroalimentación mejora de forma notable la calidad de los resultados del agente.
Aun así, la firma aclaró que no todos los parches generados por IA que superen estas pruebas deberían integrarse de inmediato. Su recomendación es que los mantenedores apliquen el mismo nivel de escrutinio que usarían con cualquier contribución externa escrita por humanos.
Qué pide Anthropic para reportes de vulnerabilidades basados en IA
La experiencia con Mozilla también dejó lecciones de procedimiento. Anthropic señaló que los mantenedores suelen estar sobrecargados, por lo que un buen reporte debe facilitar la verificación y no añadir ruido. En ese contexto, Mozilla destacó tres componentes de los envíos de Anthropic como claves para confiar en los resultados.
Esos elementos fueron casos de prueba mínimos, pruebas de concepto detalladas y parches candidatos. La empresa animó a otros investigadores que usen herramientas de descubrimiento de vulnerabilidades impulsadas por modelos de lenguaje a incluir evidencia similar de reproducibilidad y validación.
Anthropic también indicó que ya publicó sus principios operativos de divulgación coordinada de vulnerabilidades. Por ahora, esos procesos siguen las normas industriales habituales, aunque la empresa reconoció que podrían necesitar ajustes a medida que las capacidades de los modelos sigan avanzando.
Según el reporte, investigadores de Mozilla han empezado a experimentar internamente con Claude con fines de seguridad. Ese detalle sugiere que la relación no se limitó a la recepción de reportes, sino que puede derivar en nuevas formas de adopción práctica de IA dentro de equipos de defensa.
Una ventana de ventaja para los defensores
En la parte final del anuncio, Anthropic sostuvo que los modelos de lenguaje de frontera ya pueden actuar como investigadores de vulnerabilidades de clase mundial. Además de los 22 CVEs identificados en Firefox, la empresa afirmó que usó Claude Opus 4.6 para descubrir fallas en otros proyectos importantes, como el kernel de Linux.
La compañía considera que, por ahora, los defensores conservan una ventaja porque el modelo es mejor encontrando y ayudando a corregir vulnerabilidades que explotándolas. Sin embargo, advirtió que esa brecha podría no durar mucho si se mantiene la actual tasa de progreso técnico.
Con ese telón de fondo, Anthropic dijo que expandirá significativamente sus esfuerzos de ciberseguridad. Entre sus próximos pasos figuran trabajar con desarrolladores para buscar vulnerabilidades bajo procesos de divulgación coordinada, crear herramientas que ayuden a los mantenedores a clasificar reportes y proponer parches de forma directa.
La lectura de fondo es clara. Si la IA acelera la detección de fallas críticas en software de uso masivo, también aumenta la urgencia de mejorar los procesos de revisión, corrección y despliegue de defensas. Según explicó Anthropic, esta es una ventana que los desarrolladores deberían aprovechar para reforzar la seguridad de sus sistemas antes de que las capacidades ofensivas de estos modelos den un nuevo salto.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
X prueba anuncios que vinculan publicaciones con productos como Starlink
Empresas
Microsoft y Google mantendrán acceso a Claude de Anthropic pese al veto del Pentágono
Hardware
India rompe récord en el mercado del PC y supera el pico de la pandemia con 15,9 millones de envíos
IA