Claude "hackeó" Firefox y encontró 22 vulnerabilidades críticas

Un experimento conjunto entre Anthropic y Mozilla mostró hasta qué punto la IA puede transformar la seguridad del software. El modelo Opus 4.6 identificó 22 vulnerabilidades en el browser en apenas dos semanas, 14 de ellas de alta gravedad, un volumen de hallazgos que normalmente requiere meses de trabajo humano.

La inteligencia artificial está comenzando a redefinir el trabajo tradicional de los investigadores de seguridad. En un experimento reciente, el modelo Claude Opus 4.6 de Anthropic analizó el código del navegador Firefox y descubrió 22 vulnerabilidades en solo dos semanas, de las cuales 14 fueron clasificadas como de alta gravedad.

El ejercicio se realizó en colaboración con Mozilla, que permitió al modelo examinar el código del navegador como parte de un proyecto experimental para evaluar si los sistemas de IA pueden identificar vulnerabilidades reales en software de producción. Firefox fue elegido por una razón clara: es uno de los proyectos open source más auditados y seguros del mundo, con décadas de revisiones por parte de investigadores y desarrolladores.

Aun así, el modelo encontró rápidamente problemas significativos. El primer fallo apareció apenas 20 minutos después de iniciar el análisis, un error del tipo use-after-free en el motor JavaScript del navegador.

Durante el experimento, Claude examinó aproximadamente 6.000 archivos C++ y 4,6 millones de líneas de código, generando 112 informes de fallos para su revisión. Tras la verificación por parte de los investigadores de Anthropic, Mozilla confirmó 22 vulnerabilidades reales, la mayoría corregidas posteriormente en la versión Firefox 148.

La magnitud de los hallazgos resulta significativa. Los 14 fallos de alta severidad equivalen aproximadamente al 20% de todas las vulnerabilidades críticas que Mozilla solucionó en todo 2025.

El modelo demostró una clara fortaleza en el análisis de código. En cambio, mostró limitaciones cuando se le pidió generar exploits. Tras gastar unos 4.000 dólares en créditos de API intentando producir pruebas de concepto, el sistema logró crear solo dos exploits funcionales, y ambos habrían sido bloqueados por las defensas del navegador en un entorno real.

Ese desequilibrio es visto por los investigadores como una buena noticia temporal para la seguridad informática: la IA parece más eficaz detectando errores que explotándolos. Sin embargo, esa ventaja podría no durar.

La velocidad a la que estos sistemas analizan código introduce un cambio estructural en el equilibrio entre defensores y atacantes. Si los modelos continúan mejorando en la generación de exploits, el descubrimiento y la explotación de vulnerabilidades podría acelerarse de forma drástica, obligando a replantear las estrategias de defensa actuales.

Para Mozilla, el experimento ya tuvo consecuencias prácticas. La organización comenzó a integrar herramientas basadas en Claude dentro de sus flujos internos de seguridad, señal de que la auditoría asistida por IA está dejando de ser un experimento para convertirse en parte del arsenal estándar del desarrollo de software seguro.

Le puede interesar: OpenAI presentó GPT‑5.4, que se centra en mejorar las tareas profesionales