Anthropic lo dijo el viernes descubierto 22 nuevas vulnerabilidades de seguridad en el navegador web Firefox como parte de una asociación de seguridad con Mozilla.

De estos, 14 se han clasificado como altos, siete se han clasificado como moderados y uno se ha clasificado como de gravedad baja. Los problemas se abordaron en Firefox 148 , publicado a finales del mes pasado. El vulnerabilidades se identificaron durante un período de dos semanas en enero de 2026.

La empresa de inteligencia artificial (IA) dijo que la cantidad de errores de alta gravedad identificados por su modelo de lenguaje grande (LLM) Claude Opus 4.6 representa «casi una quinta parte» de todas las vulnerabilidades de alta gravedad que se corrigieron en Firefox en 2025.

Anthropic dijo que el LLM detectó un error de uso posterior en el JavaScript del navegador después de «solo» 20 minutos de exploración, que luego fue validado por un investigador humano en un entorno virtualizado para descartar la posibilidad de un falso positivo.

adsense

«Al final de este esfuerzo, habíamos escaneado casi 6.000 archivos de C++ y presentado un total de 112 informes únicos, incluidas las vulnerabilidades de gravedad alta y moderada mencionadas anteriormente», afirma la empresa. «La mayoría de los problemas se han solucionado en Firefox 148, y el resto se solucionará en las próximas versiones».

La empresa emergente de la IA dijo que también había dado acceso a su modelo Claude a toda la lista de vulnerabilidades presentadas a Mozilla y había encargado a la herramienta de IA que desarrollara un exploit práctico para ellas.

A pesar de realizar la prueba varios cientos de veces y gastar unos 4.000 dólares en créditos de API, la empresa afirmó que Claude Opus 4.6 pudo convertir el defecto de seguridad en un exploit solo en dos casos.

Este comportamiento, agregó la compañía, señaló dos aspectos importantes: el costo de identificar las vulnerabilidades es más barato que crear un exploit para ellas, y el modelo es mejor para encontrar problemas que para explotarlos.

«Sin embargo, el hecho de que Claude pueda desarrollar automáticamente un burdo exploit de navegador, aunque solo sea en unos pocos casos, es preocupante», enfatizó Anthropic, añadiendo que los exploits solo funcionaban dentro de los límites de su entorno de pruebas, al que se le han eliminado intencionalmente algunas funciones de seguridad, como el sandboxing.

Un componente crucial incorporado al proceso es un verificador de tareas para determinar si el exploit realmente funciona, lo que proporciona a la herramienta información en tiempo real a medida que explora el código base en cuestión y le permite iterar sus resultados hasta que se conciba un exploit exitoso.

Una de esas hazañas que escribió Claude fue para CVE-2026-2796 (puntuación CVSS: 9,8), que ha sido descrito como un error de compilación justo a tiempo (JIT) en el componente WebAssembly de JavaScript.

La divulgación se produce semanas después de que la empresa publicado Claude Code Security en una vista previa limitada de la investigación como una forma de corregir las vulnerabilidades mediante un agente de IA.

enlaces

«No podemos garantizar que todos los parches generados por agentes que superen estas pruebas sean lo suficientemente buenos como para combinarse de inmediato», afirma Anthropic. «Sin embargo, los verificadores de tareas nos dan más confianza en que el parche producido solucionará la vulnerabilidad específica y, al mismo tiempo, preservará la funcionalidad del programa y, por lo tanto, cumplirá lo que se considera el requisito mínimo para un parche plausible».

Mozilla, en un anuncio coordinado, dijo que el enfoque asistido por IA ha descubierto otros 90 errores, la mayoría de los cuales se han corregido. Consistían en errores de aserción que coincidían con problemas que tradicionalmente se detectaban mediante el uso de difuminaciones y distintas clases de errores lógicos que los fuzzers no detectaban.

«La escala de los hallazgos refleja el poder de combinar una ingeniería rigurosa con nuevas herramientas de análisis para una mejora continua», dijo el fabricante de navegadores dijo . «Consideramos que esto es una prueba clara de que el análisis a gran escala asistido por IA es una nueva y poderosa incorporación a la caja de herramientas de los ingenieros de seguridad».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.