Fueron validadas por un investigador humano para descartar la posibilidad de un falso positivo
Anthropic dijo el viernes que descubrió 22 nuevas vulnerabilidades de seguridad en el navegador web Firefox como parte de una asociación de seguridad con Mozilla.
De estas, 14 se clasificaron como de alta gravedad, siete como moderadas y una como de gravedad baja. Los problemas se solucionaron en Firefox 148, publicado a finales del mes pasado. Las vulnerabilidades se identificaron durante un período de dos semanas en enero de 2026.
La compañía de inteligencia artificial (IA) dijo que la cantidad de errores de alta gravedad identificados por su modelo de lenguaje grande (LLM) Claude Opus 4.6 representa "casi una quinta parte" de todas las vulnerabilidades de alta gravedad que se corrigieron en Firefox en 2025.
Anthropic dijo que el LLM detectó un error de uso después de liberación en el JavaScript del navegador después de "solo" 20 minutos de exploración, que luego fue validado por un investigador humano en un entorno virtualizado para descartar la posibilidad de un falso positivo.
"Al finalizar este esfuerzo, habíamos escaneado casi 6.000 archivos C++ y enviado un total de 112 informes únicos, incluyendo las vulnerabilidades de alta y moderada gravedad mencionadas anteriormente", afirmó la compañía. La mayoría de los problemas se han solucionado en Firefox 148, y el resto se solucionará en próximas versiones.
La nueva empresa de inteligencia artificial afirmó que también proporcionó a su modelo Claude acceso a la lista completa de vulnerabilidades enviadas a Mozilla y encargó a la herramienta de inteligencia artificial que desarrollara una explotación práctica para ellas.
A pesar de realizar la prueba varios cientos de veces y gastar alrededor de 4.000 dólares en créditos API, la compañía dijo que Claude Opus 4.6 pudo convertir el defecto de seguridad en un exploit solo en dos casos.
Este comportamiento, añadió la compañía, señala dos importantes aspectos: el coste de identificar vulnerabilidades es más barato que crear un exploit para ellas, y el modelo es mejor para encontrar problemas que para explotarlos.
"Sin embargo, el hecho de que Claude pudiera desarrollar con éxito automáticamente un rudimentario exploit de navegador, aunque solo fuera en unos pocos casos, es preocupante", enfatizó Anthropic, y agregó que los exploits solo funcionaban dentro de los límites de su entorno de prueba, al que se le habían quitado intencionalmente algunas características de seguridad como el sandboxing.
Mozilla, en un anuncio coordinado, afirmó que el enfoque asistido por IA ha descubierto otros 90 errores, la mayoría de los cuales ya se han corregido. Estos consistían en fallos de aserción que se solapaban con problemas detectados tradicionalmente mediante fuzzing y distintos tipos de errores lógicos que los fuzzers no lograron detectar.
"La magnitud de los hallazgos refleja el poder de combinar ingeniería rigurosa con nuevas herramientas de análisis para la mejora continua", afirmó el fabricante del navegador. "Consideramos esto como una clara evidencia de que el análisis a gran escala asistido por IA es una potente herramienta para los ingenieros de seguridad".
