Descubren 22 vulnerabilidades críticas en Firefox mediante IA
Publicado el
Nuevas vulnerabilidades en Firefox
Anthropic ha anunciado el descubrimiento de 22 vulnerabilidades de seguridad en el navegador Firefox como parte de una colaboración con Mozilla. De estas, 14 han sido clasificadas como de alta gravedad, siete como moderadas y una como de baja. Las vulnerabilidades fueron detectadas en un periodo de dos semanas en enero de 2026 y se abordaron en la versión Firefox 148, lanzada a finales del mes pasado.
La empresa de inteligencia artificial destacó que los errores de alta gravedad identificados por su modelo Claude Opus 4.6 representan casi una quinta parte de todos los problemas críticos que fueron corregidos en Firefox durante 2025. Un hallazgo notable fue un error de use-after-free en el JavaScript del navegador, que fue detectado tras apenas 20 minutos de exploración. Este hallazgo fue posteriormente validado por un investigador humano en un entorno virtual para descartar falsos positivos.
Anthropic informó que, al final de su investigación, escanearon cerca de 6,000 archivos en C++ y presentaron un total de 112 informes únicos, que incluyen tanto las vulnerabilidades de alta como de moderada gravedad. La mayoría de los problemas han sido corregidos en Firefox 148, y los restantes se solucionarán en futuras actualizaciones.
Además, la compañía proporcionó a Claude acceso a la lista completa de vulnerabilidades enviadas a Mozilla y le encomendó desarrollar un exploit práctico para ellas. A pesar de realizar varios cientos de pruebas y gastar aproximadamente 4,000 dólares en créditos de API, Claude Opus 4.6 solo logró generar exploits efectivos en dos ocasiones. Esto sugiere que, aunque la identificación de vulnerabilidades es más asequible, la creación de exploits resulta más compleja.
Claude logró desarrollar un exploit rudimentario para la vulnerabilidad CVE-2026-2796 (con un puntaje CVSS de 9.8), que se describe como una mala compilación JIT en el componente de JavaScript WebAssembly. Esta revelación se produce semanas después de que la empresa lanzara Claude Code Security en una vista previa de investigación limitada, con el objetivo de corregir vulnerabilidades mediante un agente de IA.
Anthropic advirtió que no se puede garantizar que todos los parches generados por el agente sean adecuados para su fusión inmediata, aunque los verificadores de tareas aumentan la confianza en que el parche resuelva la vulnerabilidad específica sin comprometer la funcionalidad del programa.
En un anuncio coordinado, Mozilla declaró que este enfoque asistido por IA ha permitido descubrir otras 90 vulnerabilidades, la mayoría de las cuales han sido corregidas. Estos hallazgos incluyeron fallos de aserción que coincidían con problemas detectados tradicionalmente a través de técnicas de fuzzing y clases distintas de errores lógicos que los fuzzers no lograron identificar.
La compañía afirmó que "la magnitud de los hallazgos refleja el poder de combinar una ingeniería rigurosa con nuevas herramientas de análisis para la mejora continua". Consideran que el análisis asistido por IA a gran escala es una adición poderosa al conjunto de herramientas de los ingenieros de seguridad.