Underc0de - La Casa de los Informáticos

La inteligencia artificial continúa transformando el panorama de la ciberseguridad. En un reciente avance en la detección automatizada de fallos de software, Anthropic anunció que descubrió 22 nuevas vulnerabilidades de seguridad en el navegador web Mozilla Firefox como parte de una colaboración con Mozilla.

Los fallos fueron identificados gracias al uso del modelo de lenguaje avanzado Claude Opus 4.6, que analizó miles de archivos del código fuente del navegador en un proceso intensivo de revisión automatizada. Según la compañía, las vulnerabilidades se descubrieron en un período de dos semanas durante enero de 2026, demostrando el potencial de los modelos de inteligencia artificial para detectar errores complejos en software a gran escala.

De las 22 vulnerabilidades detectadas:

• 14 fueron clasificadas como de alta gravedad
• 7 como de gravedad moderada
• 1 como de baja gravedad

La mayoría de estos fallos ya fueron solucionados en la versión Firefox 148, lanzada a finales del mes pasado, mientras que el resto se corregirá en futuras actualizaciones del navegador.

Claude Opus 4.6 y su papel en la auditoría de seguridad

El descubrimiento de estas vulnerabilidades fue posible gracias a Claude Opus 4.6, un modelo de inteligencia artificial diseñado para tareas complejas de análisis y razonamiento en código.

Anthropic explicó que el número de vulnerabilidades críticas detectadas por el modelo representa casi una quinta parte de todas las vulnerabilidades de alta gravedad corregidas en Firefox durante 2025, lo que pone de relieve la eficiencia de las herramientas basadas en IA para reforzar la seguridad del software.

Uno de los aspectos más llamativos del experimento fue la rapidez con la que el modelo logró identificar problemas potenciales. Según la empresa, el sistema detectó un error de uso después de liberar memoria (use-after-free) en el motor JavaScript del navegador tras apenas 20 minutos de exploración del código.

Posteriormente, este hallazgo fue verificado por un investigador humano en un entorno virtualizado, descartando la posibilidad de que se tratara de un falso positivo.

Análisis de miles de archivos del código fuente

Durante el proceso de investigación, Claude Opus 4.6 llevó a cabo un análisis masivo del código fuente del navegador.

En total:

• Se analizaron casi 6.000 archivos escritos en C++
• Se generaron 112 informes únicos de seguridad
• De ellos surgieron las 22 vulnerabilidades confirmadas

Este enfoque demuestra cómo la IA puede complementar el trabajo de los investigadores humanos al analizar enormes bases de código en un tiempo considerablemente menor.

Anthropic también compartió la lista completa de vulnerabilidades identificadas con Mozilla para facilitar su corrección y mejorar la seguridad del navegador.

IA capaz de desarrollar exploits: un experimento revelador

Además de identificar fallos de seguridad, Anthropic decidió probar otra capacidad del modelo: crear exploits funcionales para las vulnerabilidades detectadas.

Para ello, los investigadores dieron acceso al sistema a la lista completa de fallos reportados y le solicitaron desarrollar pruebas de explotación.

Tras realizar cientos de pruebas y gastar aproximadamente 4.000 dólares en créditos de API, el resultado fue revelador:

Claude Opus 4.6 solo logró convertir dos vulnerabilidades en exploits funcionales.

Este experimento permitió identificar dos conclusiones clave:

• Detectar vulnerabilidades es significativamente más fácil que explotarlas.
• Los modelos de IA son más eficaces identificando errores que desarrollando exploits complejos.

No obstante, Anthropic advirtió que el simple hecho de que un modelo de IA sea capaz de generar exploits automáticamente, aunque sea en pocos casos, plantea preocupaciones para la seguridad futura.

Los exploits funcionaban solo en entornos de prueba

La empresa aclaró que los exploits generados por Claude solo funcionaban dentro de un entorno de pruebas controlado, diseñado específicamente para el experimento.

En este entorno:

• Se eliminaron algunas funciones de seguridad
• Se deshabilitaron ciertos mecanismos de sandboxing
• Se permitió una mayor interacción con el código vulnerable

Esto significa que los exploits no eran directamente utilizables en entornos reales, pero demostraban que el modelo podía identificar la lógica necesaria para explotar determinados fallos.

Un sistema de verificación automática de exploits

Un componente clave del proceso fue la implementación de un verificador automático de tareas.

Este sistema permitía comprobar si un exploit generado por la IA funcionaba realmente, proporcionando retroalimentación en tiempo real al modelo.

Gracias a este mecanismo, la herramienta podía:

• Probar automáticamente diferentes enfoques de explotación
• Analizar el resultado de cada intento
• Ajustar sus estrategias de manera iterativa

Este proceso permitió al modelo refinar sus intentos hasta generar exploits funcionales en algunos casos.

Un exploit crítico relacionado con WebAssembly

Uno de los exploits desarrollados por la IA estaba relacionado con la vulnerabilidad CVE-2026-2796, que obtuvo una puntuación CVSS de 9,8, considerada crítica.

El fallo fue descrito como una compilación incorrecta just-in-time (JIT) dentro del componente WebAssembly de JavaScript del navegador.

Este tipo de errores puede permitir a los atacantes ejecutar código malicioso o comprometer el navegador, lo que subraya la importancia de corregir rápidamente este tipo de vulnerabilidades.

IA y seguridad del software: una tendencia en crecimiento

El descubrimiento de estas vulnerabilidades llega poco después de que Anthropic anunciara Claude Code Security, una herramienta basada en inteligencia artificial diseñada para analizar código fuente y generar parches de seguridad automáticamente.

Según la compañía, este sistema utiliza verificadores automáticos para evaluar si los parches generados realmente corrigen la vulnerabilidad sin romper el funcionamiento del software.

Aunque Anthropic admite que no todos los parches generados por IA están listos para integrarse directamente en el código, la empresa considera que estas herramientas representan un avance significativo para mejorar la seguridad del software.

Mozilla confirma el potencial del análisis asistido por IA

Por su parte, Mozilla confirmó que el enfoque de análisis asistido por inteligencia artificial ha permitido descubrir otros 90 fallos adicionales en Firefox, muchos de los cuales ya han sido solucionados.

Estos errores incluían:

• Fallos de aserción
• Problemas lógicos en el código
• Vulnerabilidades que no habían sido detectadas por herramientas tradicionales de fuzzing

Según el desarrollador del navegador, los resultados obtenidos demuestran que la combinación de ingeniería de seguridad tradicional con herramientas de inteligencia artificial puede mejorar significativamente la detección de fallos.

CitarMozilla afirmó:

"La escala de los hallazgos refleja el poder de combinar ingeniería rigurosa con nuevas herramientas de análisis para la mejora continua".

El futuro de la ciberseguridad impulsada por IA

El descubrimiento de vulnerabilidades en Firefox mediante inteligencia artificial demuestra que las herramientas basadas en IA se están convirtiendo en aliados clave para los ingenieros de seguridad.

A medida que el software se vuelve más complejo y los proyectos de código abierto crecen en tamaño, analizar manualmente millones de líneas de código resulta cada vez más difícil.

En este contexto, los modelos de IA como Claude Opus 4.6 pueden actuar como asistentes de seguridad capaces de revisar grandes bases de código, detectar fallos críticos y ayudar a los desarrolladores a corregirlos más rápidamente.

Sin embargo, el hecho de que estas mismas tecnologías puedan generar exploits funcionales plantea nuevos desafíos para la industria, ya que también podrían ser utilizadas por actores maliciosos.

Lo que parece claro es que la inteligencia artificial será una pieza fundamental en la próxima generación de herramientas de ciberseguridad, tanto para defender sistemas como para descubrir vulnerabilidades antes de que sean explotadas.

Fuente: https://thehackernews.com/