Mozilla anunció que Claude Mythos AI identificó 271 vulnerabilidades en Firefox durante las pruebas internas, y todos los errores se corrigieron en la misma semana. Este resultado subraya la capacidad de los sistemas avanzados de inteligencia artificial para analizar bases de código extensas e identificar debilidades que anteriormente requerían un escrutinio manual significativo. Los hallazgos podrían significar un momento transformador en la ciberseguridad, donde los defensores ganan ventaja sobre los atacantes.
La identificación de estas vulnerabilidades pone de relieve el papel cada vez mayor que desempeña la IA en el análisis de seguridad. «A medida que estas capacidades llegan a manos de más defensores, muchos otros equipos ahora están experimentando el mismo vértigo que nosotros cuando los hallazgos salieron a la luz por primera vez», afirmó Mozilla. La organización había probado anteriormente otro modelo Anthropic que encontró 22 errores sensibles a la seguridad en una versión anterior de Firefox.
A pesar de estos avances, Mozilla reconoció que la industria de la ciberseguridad reconoce los desafíos inherentes a la eliminación completa de los exploits de software. «Hasta ahora, la industria ha luchado en gran medida contra la seguridad», escribió la compañía, enfatizando su compromiso con la seguridad del usuario. Mozilla señaló que el nuevo sistema de inteligencia artificial localizó de manera efectiva vulnerabilidades que antes solo eran detectables por investigadores humanos expertos.
Además, la empresa expresó escepticismo sobre las predicciones de que futuros modelos de IA podrían descubrir nuevos tipos de vulnerabilidades que exceden la comprensión actual. «El software como Firefox está diseñado de forma modular para que los humanos puedan razonar sobre su corrección», dijo Mozilla. Sin embargo, las últimas herramientas de inteligencia artificial podrían permitir a los desarrolladores detectar numerosas vulnerabilidades antes de una posible explotación.
Lanzado en marzo, Mythos de Anthropic está diseñado para tareas de codificación y ciberseguridad, lo que indica un avance significativo con respecto a los modelos anteriores. Según se informa, los materiales internos revelaron que el sistema podía identificar miles de vulnerabilidades previamente desconocidas en los principales sistemas operativos y navegadores web.
El acceso a Mythos está restringido a través del Project Glasswing, lo que permite a empresas de tecnología seleccionadas, incluidas Amazon, Apple y Microsoft, aprovechar el modelo para escanear software en busca de debilidades. Esta iniciativa refleja un cambio en la industria hacia el empleo de IA en parches preventivos de vulnerabilidades.
Sin embargo, los expertos en seguridad también advierten que dicha tecnología puede permitir nuevos ciberataques. El Instituto de Seguridad de IA del Reino Unido descubrió que Mythos es capaz de ejecutar de forma autónoma operaciones cibernéticas complejas, incluida la simulación de ataques de red de varias etapas sin intervención humana. El modelo ha despertado el interés de agencias gubernamentales y de inteligencia, incluida la Agencia de Seguridad Nacional (NSA), que supuestamente dirige Claude Mythos Preview en redes clasificadas.
Los acontecimientos recientes indican que los puntos de referencia de evaluación de IA existentes pueden no ser suficientes para evaluar las capacidades de estos nuevos modelos. Mozilla postuló que estos avances podrían permitir a los defensores desafiar las ventajas de larga data que tienen los atacantes. «Hemos doblado la esquina y podemos vislumbrar un futuro mucho mejor que simplemente mantener el ritmo», dijo Mozilla, sugiriendo un cambio decisivo en la dinámica de la ciberseguridad.
