Mozilla ha lanzado un aviso serio al sector del software: la Inteligencia Artificial ya no solo ayuda a programar o resumir texto, también empieza a encontrar vulnerabilidades de seguridad a una escala que hasta hace poco parecía difícil de asumir incluso para equipos muy experimentados. La compañía ha contado esta semana que Firefox 150 incluye correcciones para 271 vulnerabilidades detectadas durante una evaluación inicial con una versión temprana de Claude Mythos Preview, un modelo de Anthropic orientado a tareas avanzadas de seguridad.
La cifra impresiona todavía más cuando se compara con la colaboración anterior entre Mozilla y Anthropic. En marzo, ambas compañías explicaron que Claude Opus 4.6 había ayudado a descubrir 22 vulnerabilidades en Firefox en el plazo de dos semanas, de las que Mozilla clasificó 14 como de alta gravedad. Aquella tanda se corrigió en Firefox 148 y, además, el modelo detectó 90 errores adicionales, la mayoría ya resueltos.
Lo más relevante del nuevo mensaje de Mozilla no es solo la cantidad, sino el cambio de tono. Bobby Holley, director de tecnología de Firefox, sostiene en el blog oficial de la organización que la industria ha vivido durante años en una especie de empate defensivo, asumiendo que reducir los exploits a cero era poco realista. Ahora, según su análisis, las nuevas capacidades de IA podrían empezar a inclinar esa balanza a favor de los defensores, siempre que las empresas sean capaces de reorganizar prioridades y reaccionar a la velocidad que exigen estas herramientas.
De la revisión manual al análisis masivo asistido por IA
Mozilla explica que hasta ahora una parte importante de la seguridad del navegador descansaba en una combinación de varias capas: aislamiento por procesos, sandboxing, uso creciente de Rust, revisión interna y técnicas automatizadas como el fuzzing, que consiste en bombardear el software con entradas inesperadas para provocar fallos. Ese enfoque sigue siendo útil, pero tiene límites claros: algunas áreas del código son más difíciles de cubrir que otras, y la búsqueda de vulnerabilidades complejas ha dependido tradicionalmente de investigadores humanos con mucha experiencia y tiempo.
Ahí es donde Mozilla cree que está cambiando el tablero. La compañía afirma que modelos como Mythos Preview ya son capaces de razonar sobre el código fuente de forma parecida a como lo haría un investigador de élite, algo que hasta hace unos meses no era realista para una máquina. En el texto, Holley llega a afirmar que, por ahora, el equipo no ha encontrado ninguna categoría de vulnerabilidad que un investigador humano experto pueda detectar y que este modelo no sea capaz de hallar también. Es una afirmación ambiciosa y conviene leerla como la valoración de Mozilla a partir de su propia experiencia práctica, no como una verdad cerrada para toda la industria.
El resultado inmediato ya se ha trasladado al producto. La Mozilla Foundation Security Advisory 2026-30, publicada el 21 de abril de 2026, detalla las vulnerabilidades corregidas en Firefox 150 y sitúa el impacto general en nivel alto. En esa misma alerta aparecen varias entradas en las que el descubrimiento se atribuye explícitamente a investigadores “using Claude from Anthropic”, junto a otros muchos hallazgos localizados por investigadores independientes y por el propio equipo de Mozilla.
La noticia es buena para Firefox, pero inquietante para todo el sector
La lectura optimista es evidente: si una empresa como Mozilla puede usar IA para encontrar cientos de fallos latentes antes que los atacantes, el margen para reforzar software crítico podría crecer de forma drástica. El propio Holley plantea que los defectos son finitos y que la industria está entrando en una etapa en la que, al menos en teoría, por fin podría aspirar a encontrarlos todos.
Pero la parte inquietante no desaparece. Mozilla reconoce que la primera reacción interna fue casi de vértigo al ver el volumen de hallazgos. Si un navegador tan auditado, tan expuesto y tan trabajado en seguridad como Firefox puede arrojar de golpe cientos de vulnerabilidades con ayuda de IA, la pregunta incómoda es qué puede ocurrir en proyectos más pequeños, menos revisados o con menos recursos humanos para responder. Aunque el artículo oficial se centra en la experiencia de Mozilla, la conclusión implícita es bastante clara: cuando estas capacidades lleguen a más defensores, también cambiarán las expectativas de todo el ecosistema del software.
También hay un matiz importante. Mozilla no está diciendo que la IA haya descubierto formas completamente nuevas y “misteriosas” de fallo, sino más bien que ha conseguido abaratar y acelerar el descubrimiento de vulnerabilidades que, en principio, ya estaban al alcance de un investigador humano muy competente. Eso, según la compañía, es precisamente lo que puede acabar erosionando la ventaja histórica del atacante: si encontrar fallos deja de ser un trabajo carísimo y lentísimo, la defensa también puede escalar.
En otras palabras, la noticia no es que Firefox estuviera peor de lo esperado. La noticia es que la frontera de lo auditable acaba de moverse. Y eso obliga a repensar cómo se construye, se revisa y se mantiene el software crítico en la era de la IA.
Preguntas frecuentes
¿Qué ha corregido Mozilla en Firefox 150 gracias a la IA?
Mozilla asegura que Firefox 150 incluye correcciones para 271 vulnerabilidades identificadas durante una evaluación inicial con una versión temprana de Claude Mythos Preview.
¿Ya había colaborado antes Mozilla con Anthropic?
Sí. En marzo, Mozilla y Anthropic explicaron que Claude Opus 4.6 ayudó a descubrir 22 vulnerabilidades en Firefox, incluidas 14 de alta gravedad, además de 90 errores adicionales.
¿Significa esto que Firefox era inseguro?
No necesariamente. Firefox ya es uno de los navegadores más auditados y con más capas de defensa. Lo que muestra este caso es que las nuevas herramientas de IA pueden encontrar fallos latentes a una escala muy superior a la de las revisiones tradicionales.
¿Mozilla cree que la IA puede cambiar la seguridad del software?
Sí. La compañía sostiene que estas capacidades pueden reducir la ventaja histórica del atacante y dar a los defensores una oportunidad real de localizar vulnerabilidades más rápido y de forma más completa.
vía: blog.mozilla
