Cuando Anthropic anunció su nuevo modelo Mythos en abril, también emitió una dura advertencia a quienes desarrollaban el software. El instituto dice que su modelo es extremadamente poderoso para detectar vulnerabilidades de software y encontrar miles de errores de alta gravedad que deben corregirse antes de que puedan publicarse.
Ahora, los investigadores de seguridad del navegador Firefox de Mozilla están analizando más de cerca cómo se ve realmente ese proceso y qué significa el poder de Mythos para la seguridad general del software.
En una publicación publicada el jueves, Mozilla dijo que Mythos había descubierto una gran cantidad de errores de alta gravedad, incluidos algunos que habían estado inactivos en el código durante más de una década.
Esta es una mejora significativa con respecto a las capacidades de las herramientas de seguridad de IA hace seis meses. Hasta ahora, las herramientas de búsqueda de errores de IA han tenido importantes deficiencias, y a menudo han inundado a los equipos de seguridad con informes de baja calidad y falsos positivos. Pero los investigadores de Mozilla dicen que han dado un paso adelante, especialmente con la última generación de herramientas que permiten a los sistemas de agentes evaluar su propio trabajo y filtrar los malos resultados.
«Es difícil exagerar cuánto nos ha cambiado esta dinámica en el corto espacio de unos pocos meses», escribieron los investigadores. «En primer lugar, la potencia de los modelos ha aumentado espectacularmente. En segundo lugar, la tecnología para aprovechar estos modelos ha mejorado espectacularmente».
Los resultados fueron sorprendentes. En abril de 2026, Firefox envió 423 correcciones de errores, en comparación con solo 31 un año antes. Los investigadores también publicaron detalles sobre 12 errores. Estos van desde dos vulnerabilidades inusuales en la zona de pruebas hasta un error de hace 15 años en la forma en que los navegadores analizan los elementos HTML.
Brian Grinstead, un destacado ingeniero de Mozilla, dijo a TechCrunch: «Lo estamos viendo en nuestros propios análisis internos, en informes de errores externos y en todo tipo de señales en toda la industria».
evento de crisis tecnológica
San Francisco, California
|
13-15 de octubre de 2026
El hecho de que este sistema haya ayudado a exponer vulnerabilidades en el sistema «sandbox» de Firefox es especialmente impresionante, considerando lo complejo que tendría que ser un ataque que explotara este sistema. Para encontrar vulnerabilidades en el sandbox, el modelo debe crear un parche comprometido para el navegador y atacar la parte más segura del software con el nuevo código implementado. Encontrar y demostrar errores es un proceso delicado de varios pasos que requiere creatividad y cuidado.
Para poner esto en contexto, el programa de recompensas por errores de Mozilla paga hasta 20.000 dólares a los investigadores que descubren errores en la zona de pruebas de Firefox. Esta es la recompensa más alta disponible. Pero a pesar de la gran recompensa, Grinstead dice que Mythos está descubriendo más problemas de sandbox de los que los investigadores humanos han encontrado jamás. «Lo tenemos, pero no en la cantidad que vamos a encontrar con esta tecnología», dijo a TechCrunch.
En particular, a pesar de los avances bien documentados en las herramientas de codificación de IA, el equipo de Firefox todavía no utiliza IA para corregir errores. El equipo le pide a la IA que codifique un parche para cada error, pero el código resultante generalmente no se puede implementar directamente y, en cambio, sirve como modelo para ingenieros humanos.
«Para cada error mencionado en este artículo, un ingeniero creó un parche y otro lo revisó», dijo Grinstead. «No sabía que era automatizable».
Aún no está claro cómo las nuevas capacidades de la IA cambiarán el equilibrio de poder más amplio en materia de ciberseguridad. Ha pasado un mes desde que se mostró una vista previa de Mythos, pero es posible que la mayoría de los errores descubiertos no hayan sido corregidos, lo que dificulta conocer el alcance total de su impacto. Anthropic ha tenido mucho cuidado en seguir estándares de divulgación responsable, pero incluso si el modelo que utilizan no es tan bueno, los malos actores pueden estar usando técnicas similares detrás de escena.
El director ejecutivo de Anthropic, Dario Amodei, expresó optimismo en un evento reciente de que las nuevas herramientas en última instancia darán una ventaja a los defensores. «Si manejamos esto correctamente, es posible que estemos en una mejor posición que al principio porque solucionamos todos estos errores. Hay muchos errores que encontrar», dijo Amodei. “Así que creo que hay un mundo mejor al otro lado de esto”.
Grinstead adopta una visión más cautelosa después de abordar los detalles esenciales. «Esto es útil tanto para los atacantes como para los defensores, pero una vez que las herramientas están disponibles, la ventaja pasa un poco a los defensores. Siendo realistas, nadie sabe la respuesta a esto todavía».
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
