Durante años, encontrar vulnerabilidades graves en software complejo ha sido una tarea reservada a investigadores especializados que dedican semanas o meses a examinar millones de líneas de código. Ese escenario empieza a cambiar. Los modelos de inteligencia artificial ya no se limitan a generar código o ayudar a depurarlo, también están empezando a detectar fallos de seguridad por sí mismos. Un ejemplo reciente lo ha mostrado Anthropic con Claude Opus 4.6, su modelo más avanzado, al ponerlo a prueba con Firefox. El experimento resulta especialmente llamativo porque Firefox, gestionado por Mozilla y utilizado por cientos de millones de personas, es uno de los proyectos de código abierto más auditados del ecosistema web.
Analizar el código del navegador Firefox. Durante dos semanas de pruebas, el sistema identificó 22 vulnerabilidades diferentes, de acuerdo con la información publicada por ambas organizaciones. Mozilla evaluó 14 de ellas como fallos de alta gravedad, lo que significa que podrían haber servido como base para ataques si alguien hubiera desarrollado el código de explotación adecuado. Según los responsables del proyecto, la mayor parte de estos problemas ya se han solucionado en Firefox 148, la versión publicada en febrero, mientras que el resto se corregirá en próximas versiones.
Dentro del experimento. El trabajo de Claude no consistió en una simple búsqueda automática de errores. Según detalla Anthropic, el equipo primero utilizó el modelo para intentar reproducir vulnerabilidades históricas registradas en Firefox, una forma de comprobar si era capaz de reconocer patrones de fallos reales. Después pasaron a la parte más interesante del experimento: pedirle que analizara la versión actual del navegador para localizar problemas que aún no habían sido reportados. El proceso comenzó en el motor JavaScript y luego se amplió a otras áreas del código. En total, el análisis abarcó miles de archivos del proyecto, incluidos varios miles de archivos C++, generando una larga lista de hallazgos que posteriormente fueron revisados por los investigadores.
Un dato llamativo. Claude encontró en dos semanas más fallos de alta gravedad de los que el navegador suele recibir en unos dos meses a través de sus canales habituales de investigación. Durante el proceso, el equipo de Anthropic envió 112 informes únicos al sistema de seguimiento de errores del proyecto, aunque no todos correspondían a vulnerabilidades confirmadas. Parte del trabajo de Mozilla consistió precisamente en revisar, depurar y clasificar esos hallazgos antes de determinar cuáles tenían implicaciones reales de seguridad. La experiencia terminó convirtiéndose en una colaboración directa entre ambas organizaciones para revisar los resultados y priorizar las correcciones.
En Xataka
Las redes Wi-Fi para invitados parecían un refugio seguro para conectarse. AirSnitch acaba de demostrar que son un coladero
La otra mitad del problema. El equipo de Anthropic también quiso comprobar hasta qué punto el modelo podía ir más allá de la detección de errores y convertir esos fallos en ataques reales. Para ello, le pidieron que desarrollara exploits capaces de aprovechar las vulnerabilidades descubiertas. El experimento incluyó cientos de ejecuciones con distintos enfoques y supuso un gasto aproximado de 4.000 dólares en créditos de API. Aun así, el resultado mostró una clara diferencia entre ambas capacidades: Claude solo consiguió generar dos exploits funcionales en un entorno de pruebas simplificado, sin algunas de las defensas presentes en un navegador real.
Más allá del caso concreto de Firefox, el experimento refleja un cambio que empieza a preocupar y a interesar al mismo tiempo a la comunidad de seguridad. Las herramientas basadas en inteligencia artificial están mejorando rápidamente en la detección de vulnerabilidades en software complejo, algo que podría ayudar a los desarrolladores a corregir fallos con mayor rapidez.
Imágenes | Anthropic | Rubaitul Azad
En Xataka | Se suponía que los iPhone eran los móviles más seguros del mundo. Se suponía
-
La noticia
La IA ya está aprendiendo a encontrar fallos en el software: Claude acaba de demostrarlo con Firefox
fue publicada originalmente en
Xataka
por
Javier Marquez
.
La IA ya está aprendiendo a encontrar fallos en el software: Claude acaba de demostrarlo con Firefox
Claude Opus 4.6 detectó 22 vulnerabilidades en Firefox en solo dos semanas
14 de esos fallos fueron clasificados por Mozilla como de alta gravedad
Pero la IA resultó mucho más eficaz encontrando errores que explotándolos
Durante años, encontrar vulnerabilidades graves en software complejo ha sido una tarea reservada a investigadores especializados que dedican semanas o meses a examinar millones de líneas de código. Ese escenario empieza a cambiar. Los modelos de inteligencia artificial ya no se limitan a generar código o ayudar a depurarlo, también están empezando a detectar fallos de seguridad por sí mismos. Un ejemplo reciente lo ha mostrado Anthropic con Claude Opus 4.6, su modelo más avanzado, al ponerlo a prueba con Firefox. El experimento resulta especialmente llamativo porque Firefox, gestionado por Mozilla y utilizado por cientos de millones de personas, es uno de los proyectos de código abierto más auditados del ecosistema web.
Analizar el código del navegador Firefox. Durante dos semanas de pruebas, el sistema identificó 22 vulnerabilidades diferentes, de acuerdo con la información publicada por ambas organizaciones. Mozilla evaluó 14 de ellas como fallos de alta gravedad, lo que significa que podrían haber servido como base para ataques si alguien hubiera desarrollado el código de explotación adecuado. Según los responsables del proyecto, la mayor parte de estos problemas ya se han solucionado en Firefox 148, la versión publicada en febrero, mientras que el resto se corregirá en próximas versiones.
Dentro del experimento. El trabajo de Claude no consistió en una simple búsqueda automática de errores. Según detalla Anthropic, el equipo primero utilizó el modelo para intentar reproducir vulnerabilidades históricas registradas en Firefox, una forma de comprobar si era capaz de reconocer patrones de fallos reales. Después pasaron a la parte más interesante del experimento: pedirle que analizara la versión actual del navegador para localizar problemas que aún no habían sido reportados. El proceso comenzó en el motor JavaScript y luego se amplió a otras áreas del código. En total, el análisis abarcó miles de archivos del proyecto, incluidos varios miles de archivos C++, generando una larga lista de hallazgos que posteriormente fueron revisados por los investigadores.
Un dato llamativo. Claude encontró en dos semanas más fallos de alta gravedad de los que el navegador suele recibir en unos dos meses a través de sus canales habituales de investigación. Durante el proceso, el equipo de Anthropic envió 112 informes únicos al sistema de seguimiento de errores del proyecto, aunque no todos correspondían a vulnerabilidades confirmadas. Parte del trabajo de Mozilla consistió precisamente en revisar, depurar y clasificar esos hallazgos antes de determinar cuáles tenían implicaciones reales de seguridad. La experiencia terminó convirtiéndose en una colaboración directa entre ambas organizaciones para revisar los resultados y priorizar las correcciones.
La otra mitad del problema. El equipo de Anthropic también quiso comprobar hasta qué punto el modelo podía ir más allá de la detección de errores y convertir esos fallos en ataques reales. Para ello, le pidieron que desarrollara exploits capaces de aprovechar las vulnerabilidades descubiertas. El experimento incluyó cientos de ejecuciones con distintos enfoques y supuso un gasto aproximado de 4.000 dólares en créditos de API. Aun así, el resultado mostró una clara diferencia entre ambas capacidades: Claude solo consiguió generar dos exploits funcionales en un entorno de pruebas simplificado, sin algunas de las defensas presentes en un navegador real.
Más allá del caso concreto de Firefox, el experimento refleja un cambio que empieza a preocupar y a interesar al mismo tiempo a la comunidad de seguridad. Las herramientas basadas en inteligencia artificial están mejorando rápidamente en la detección de vulnerabilidades en software complejo, algo que podría ayudar a los desarrolladores a corregir fallos con mayor rapidez.
