Mozilla detecta 271 vulnerabilidades en Firefox con IA Mythos de Anthropic: la revolución que transforma la ciberseguridad empresarial

Mozilla acaba de demostrar que la detección de vulnerabilidades con IA ha dado un salto cuántico. La compañía utilizó el modelo Mythos de Anthropic para identificar 271 vulnerabilidades de alta severidad en Firefox 150, incluidas algunas que permanecían ocultas en el código durante más de 15 años. El resultado: Firefox pasó de corregir 31 bugs en abril de 2025 a 423 correcciones en abril de 2026.

"Es difícil exagerar cuánto cambió esta dinámica para nosotros en pocos meses", escribieron los investigadores de Mozilla. El modelo Mythos no solo superó las herramientas tradicionales, sino que encontró vulnerabilidades en el sistema sandbox de Firefox, el componente más seguro del navegador, por el cual Mozilla paga recompensas de hasta $20,000 a investigadores externos.

Según Bobby Holley, CTO de Firefox, Mythos Preview es "tan capaz como los mejores investigadores de seguridad del mundo". La herramienta logró identificar vulnerabilidades que habrían requerido "meses de costoso esfuerzo humano" para ser descubiertas. Mientras que el modelo anterior Opus 4.6 de Anthropic solo encontró 22 bugs críticos en Firefox 148, Mythos multiplicó por 12 esa capacidad en una sola versión.

Lo más impresionante: el sistema logró revelar fallos en el sandbox de Firefox, una proeza técnica compleja que requiere escribir un parche comprometido y luego atacar la parte más segura del software. Brian Grinstead, ingeniero distinguido de Mozilla, confirmó a TechCrunch que están "encontrando más problemas de sandbox con esta técnica" que con investigadores humanos.

Cómo implementar detección de vulnerabilidades con IA en tu empresa

La experiencia de Mozilla revela tres palancas clave para implementar IA en ciberseguridad que cualquier organización puede aplicar:

1. Combina múltiples modelos de IA para maximizar cobertura
Mozilla no dependió solo de Mythos. Utilizaron diferentes versiones del modelo de Anthropic para analizar distintas versiones de Firefox. Tu empresa puede implementar esta estrategia usando modelos complementarios como Claude, GPT-4, y herramientas especializadas en seguridad.

2. Mantén la supervisión humana en las correcciones
Aunque la IA identificó los bugs, Mozilla insiste en que "cada parche lo escribe un ingeniero y lo revisa otro". La automatización debe centrarse en la detección, no en la corrección. Las empresas que han intentado automatizar ambos procesos, como vimos en el caso de Ars Technica que perdió $2M por implementar IA sin controles, enfrentan riesgos significativos.

3. Prioriza proyectos de código abierto y legacy
Raffi Krikorian, CTO de Mozilla, argumenta en The New York Times que los proyectos de código abierto son especialmente vulnerables porque "el programador que dedicó 20 años de su vida a mantener código usado por miles de millones de personas no tiene acceso a Mythos todavía".

Acciones concretas para tu organización:

Auditoría inmediata: Identifica tu código más crítico, especialmente sistemas legacy o de código abierto

Inversión gradual: Comienza con herramientas como Claude o GPT-4 para análisis de código antes de invertir en modelos especializados

Proceso híbrido: Establece workflows donde la IA detecta y los humanos validan y corrigen

Capacitación del equipo: Prepara a tu equipo de seguridad para manejar el "firehose de bugs" que generan estas herramientas

El CEO de Anthropic, Dario Amodei, es optimista: "Si manejamos esto correctamente, podríamos estar en mejor posición que al inicio, porque arreglamos todos estos bugs. Solo hay una cantidad limitada de bugs por encontrar".

Sin embargo, Grinstead de Mozilla mantiene una perspectiva más medida: "Es útil tanto para atacantes como para defensores, pero tener la herramienta disponible inclina ligeramente la ventaja hacia la defensa".

La pregunta para los líderes empresariales no es si implementar IA en ciberseguridad, sino cuándo y cómo hacerlo antes de que sus competidores y, más importante, los atacantes, tomen ventaja. Mozilla ya demostró que es posible; ahora es tu turno de actuar.