Vulnerabilidad crítica en Firefox: Mythos detecta 271 fallos y Mozilla lo califica de hito defensivo
Vulnerabilidad crítica en Firefox: la Mozilla Foundation ha revelado resultados de pruebas internas con “Mythos”, un modelo de AI para búsqueda de bugs desarrollado por Anthropic, capaz de identificar 271 vulnerabilidades en Firefox 150. Para Mozilla, el salto cuantitativo frente a experimentos previos marca un punto de inflexión en la forma en la que los equipos defensivos pueden descubrir y priorizar fallos antes de que lo hagan actores ofensivos.
La organización recordó que en una evaluación anterior usó un modelo de Anthropic (Opus 4.6) sobre Firefox 148 y detectó 22 bugs. En el nuevo ciclo de análisis, Mythos elevó esa cifra a 271 hallazgos en Firefox 150, un volumen que el CTO de Mozilla, Bobby Holley, describió como una mezcla de “vértigo” por el backlog potencial y “luz al final del túnel” por la posibilidad real de abaratar la defensa a escala.
Vulnerabilidad crítica en Firefox: por qué el salto de 271 hallazgos importa
Holley enmarcó el resultado como un cambio estructural en la economía del exploit: si antes encontrar un fallo significativo en un “hardened target” podía considerarse una alerta roja, la capacidad de un sistema automatizado para producir cientos de señales obliga a replantear procesos de triage, corrección y validación. En su lectura, la industria ha estado “empatando” contra el riesgo: no se eliminan todos los exploits, pero se intenta hacerlos tan costosos que solo atacantes con recursos extraordinarios puedan permitírselos y, aun así, eviten quemarlos de forma casual.
La tesis de Mozilla es que Mythos estrecha una brecha histórica que favorecía al atacante: la distancia entre bugs “machine-discoverable” y bugs “human-discoverable”. Si una parte relevante del descubrimiento pasa de meses de razonamiento experto a ciclos baratos y repetibles, la ventaja ofensiva se erosiona porque el descubrimiento deja de ser un recurso escaso.
Mythos frente a fuzzing: de la ejecución masiva al razonamiento sobre código
Mozilla sostiene que Mythos mejora el enfoque tradicional de fuzzing que el proyecto ya utiliza para encontrar errores sin intervención humana. Mientras el fuzzing explora comportamientos y estados mediante entradas generadas y ejecución repetida, los investigadores de élite suelen encontrar clases de vulnerabilidades que los fuzzers no capturan razonando sobre el source code y su composición modular, un trabajo efectivo pero limitado por la disponibilidad de talento.
Según Holley, hace pocos meses los sistemas informáticos “no podían” realizar ese razonamiento y ahora pueden hacerlo con un nivel comparable al de investigadores punteros. En la evaluación descrita, Mozilla afirma no haber observado categorías o niveles de complejidad de vulnerabilidades que un humano de élite pueda encontrar y el modelo no, y añade un matiz relevante para la narrativa de riesgo: tampoco han visto bugs que no pudieran, en teoría, ser encontrados por un investigador humano muy cualificado.
Una advertencia implícita: volumen no equivale a impacto
Aunque el número total (271) es llamativo, Mozilla no detalla en este informe público el desglose por severidad, explotabilidad o superficie afectada, por lo que el dato debe leerse como capacidad de descubrimiento y amplitud de señal, no como recuento directo de “0-days” críticos listos para explotación. Aun así, para equipos de seguridad y desarrollo, el mensaje es claro: el cuello de botella se desplaza de “encontrar” a “clasificar, corregir, revisar y desplegar” con garantías.
Vulnerabilidad crítica en Firefox: el debate sobre “nuevas clases” de fallos
Holley también rechazó la idea de que futuros modelos de AI vayan a descubrir formas completamente nuevas de vulnerabilidades “incomprensibles” para los humanos. Su argumento es de ingeniería: software como Firefox se diseña de forma modular precisamente para que las personas puedan razonar sobre su corrección. Es complejo, sí, pero no arbitrariamente complejo; los defectos son finitos y, con mejores herramientas de análisis, sería posible acercarse a un escenario donde “se encuentren todos”.
La conclusión operativa que se desprende del posicionamiento de Mozilla es que la AI puede convertir el descubrimiento en un proceso sistemático y repetible, elevando el listón para atacantes al reducir la asimetría que antes dependía de tiempo humano altamente especializado.
Fuentes y contexto
Vulnerabilidad crítica en Firefox: el propio Mozilla CTO lo resume como un cambio de era para los defensores, pero también como un desafío inmediato de gestión del riesgo a gran escala: si la AI hace barato encontrar fallos, la industria tendrá que hacer igual de eficiente el ciclo completo de corrección y despliegue para que esa ventaja se traduzca en seguridad real.
