Todas las notas

La IA que encuentra todos los bugs: Mozilla dice que los defensores van ganando

Claude Opus 4.6 encontró 22 vulnerabilidades en Firefox en dos semanas. Claude Mythos encontró 271 en una sola pasada. Mozilla cree que esto cambia todo. Nosotros también, pero con matices.

La IA que encuentra todos los bugs: Mozilla dice que los defensores van ganando

Mozilla publicó esta semana una nota con un título que no deja dudas: "The zero-days are numbered". Los días cero están contados. No como amenaza — como promesa.

La tesis es simple: durante décadas, el equilibrio entre atacantes y defensores se mantuvo porque encontrar bugs era caro. Un atacante motivado podía invertir meses de trabajo humano especializado para encontrar una sola vulnerabilidad. Los defensores tenían que cubrirlo todo; el atacante solo necesitaba una rendija. La IA acaba de cambiar esa ecuación.


Los números que respaldan esa tesis

No es solo retórica. Mozilla tiene datos concretos.

En Firefox 148, publicado hace pocas semanas, se corrigieron 22 vulnerabilidades identificadas por Claude Opus 4.6 en colaboración con Anthropic. Catorce de esas 22 eran de severidad alta. Las encontraron en dos semanas.

Después vino Firefox 150. Ahí el número sube a 271 vulnerabilidades — identificadas por Claude Mythos Preview en una única pasada de evaluación. No en meses. No iterando. Una evaluación.

Para ponerlo en contexto: casi el 20% de todas las vulnerabilidades críticas corregidas en Firefox en 2025 fueron encontradas por humanos a lo largo de todo el año. La IA está igualando ese ritmo anual en días.


Por qué esto favorece a los defensores (según Mozilla)

El argumento de Mozilla tiene una lógica elegante.

Hoy existe una brecha: hay bugs que una máquina puede encontrar y hay bugs que solo un humano muy hábil puede encontrar. Esa brecha favorece al atacante, que puede concentrar meses de esfuerzo humano costoso para encontrar algo que nadie más detectó.

Si la IA cierra esa brecha — si todo lo que un humano puede descubrir, la IA también puede — entonces el atacante pierde su ventaja estructural. Los defectos del software son finitos. Si podemos encontrarlos todos, podemos corregirlos todos. El juego cambia de "quién aguanta más" a "cuánto tiempo para barrer el tablero".

Mozilla lo dice sin rodeos: "los defensores finalmente tienen una oportunidad de ganar, de manera decisiva."


Lo que Anthropic está haciendo con esto

Esto no es solo Mozilla. Anthropic lanzó Project Glasswing — un programa que entrega acceso a Claude Mythos Preview a investigadores y empresas de infraestructura crítica para encontrar y corregir vulnerabilidades antes de que alguien las explote. Acompañado de 100 millones de dólares en créditos de uso del modelo.

Los resultados ya publicados hablan de bugs de décadas: un fallo de 27 años en OpenBSD, uno de 16 años en FFmpeg, y una vulnerabilidad de corrupción de memoria en un monitor de máquinas virtuales escrito en un lenguaje considerado memory-safe. No bugs triviales.

La semana pasada también lanzaron Claude Security en beta pública para clientes Enterprise. CrowdStrike, Microsoft Security, Palo Alto y otros ya están integrando estas capacidades en sus plataformas.


Los matices que no podemos ignorar

Todo esto es genuinamente bueno. Y también es la misma tecnología que un atacante puede usar.

La diferencia entre "defensor que usa IA para encontrar bugs" y "atacante que usa IA para encontrar bugs" no es técnica — es de intención y acceso. Por ahora, los modelos más capaces están bajo control de empresas con políticas de uso. Pero el acceso se democratiza con el tiempo, y los modelos open source están alcanzando capacidades que antes eran exclusivas.

Lo que Mozilla llama una oportunidad para ganar decisivamente es también una carrera. Quien parchee más rápido tiene ventaja. Quien ignore esto, no.

Hace unos días escribimos sobre Copy Fail (CVE-2026-31431) — un bug de nueve años en el kernel Linux encontrado por la IA de Xint en aproximadamente una hora. Ese caso ilustra exactamente el punto: la IA no encontró una nueva categoría de vulnerabilidad. Encontró algo que estuvo ahí siempre, que nadie se había molestado en buscar de esa forma.

El software heredado, el que nadie audita porque "lleva años funcionando", es el que más tiene que temer.


Qué hacer con todo esto

Si administrás infraestructura o desarrollás software, la respuesta práctica no es espectacular: actualizá Firefox, seguí los parches de seguridad con la misma atención que le prestás a las alertas críticas, y empezá a pensar que el software sin auditoría reciente tiene deuda de seguridad acumulada.

La promesa de largo plazo — que la IA barra todos los bugs conocibles — todavía tiene que demostrarse a escala. Pero los indicadores son los más optimistas que hemos visto en este campo en mucho tiempo.


Fuentes: