Claude Mythos, el modelo de inteligencia artificial (IA) de Anthropic, promete ser toda una revolución en el sector de la ciberseguridad, hasta el extremo de que hasta The Linux Foundation se ha apuntado al tema. Dicha revolución, lejos de ser solo palabrería, parece estar materializándose en la realidad, ya que el modelo de Anthropic se ha anotado recientemente un tanto importante al encontrar la friolera de 271 vulnerabilidades en Firefox 150, la versión más reciente del navegador web de Mozilla.
La gran cantidad de vulnerabilidades halladas en Firefox 150 ha sido mostrada por la propia Mozilla a través de una entrada publicada en su blog oficial por el CTO de la fundación, Bobby Holley, en la se cual menciona que antes la institución probó el modelo Opus 4.6, también de Anthropic, que contribuyó a la corrección de 22 fallos sensibles en términos de seguridad. Es importante tener en cuenta que estos descubrimiento derivan de una colaboración entre Anthropic y Mozilla y no de algo iniciado por alguna de las partes.
Parece que Claude Mythos está sacudiendo a la industria del software con sus capacidades para descubrir fallos de seguridad, algo que desde Mozilla no se molestan en ocultar: “A medida que estas capacidades llegan a manos de más defensores, muchos otros equipos están experimentando ahora el mismo vértigo que sentimos nosotros cuando se empezaron a conocer los hallazgos. Para un objetivo bien protegido, un solo fallo de este tipo habría supuesto una alerta roja en 2025, y tantos a la vez te hacen preguntarte si es siquiera posible mantenerse al día.”
“Nuestra experiencia es motivo de esperanza para los equipos que logran superar el vértigo y se ponen manos a la obra. Puede que sea necesario replantearse las prioridades de todo lo demás para centrarse en la tarea con determinación y sin distracciones, pero hay luz al final del túnel. Estamos muy orgullosos de cómo nuestro equipo ha sabido estar a la altura de este reto, y otros también lo harán. Nuestro trabajo no ha terminado, pero hemos dado un giro y podemos vislumbrar un futuro mucho mejor que el de simplemente mantenernos a flote. Los defensores (de la ciberseguridad) por fin tienen la oportunidad de ganar, de forma decisiva”.
En Mozilla están aparentemente sorprendidos por las capacidades de Claude Mythos y lo ven como una oportunidad de oro para que los encargados de la seguridad en aplicaciones y otros componentes de software puedan, por fin, estar realmente a la altura de las circunstancias, más viendo que no somos pocos los que pensamos que los actores maliciosos y los crackers siempre van dos pasos por delante, cosa que puede verse en el DRM Denuvo por mucho que lo mejoren.
Por otro lado, no hay que descartar el uso de la IA por parte de actores maliciosos, desde pequeños que actúan de manera individual hasta potentes grupos patrocinados por estados, con todo el efecto multiplicador que puede acarrear a nivel de investigación, eficacia y potencia de los propios ciberataques.
Bobby Holley recalca que, “hasta la fecha, la seguridad se ha centrado principalmente en la ofensiva: la superficie de ataque no es infinita, pero es lo suficientemente amplia como para que resulte difícil defenderla de forma exhaustiva con las herramientas de las que disponemos. Esto otorga a los atacantes una ventaja asimétrica, ya que solo necesitan encontrar una brecha en la defensa” para tener éxito en sus objetivos.
El CTO de Mozilla explica que el navegador que desarrolla la fundación utiliza una “defensa en profundidad para aplicar múltiples capas de protecciones superpuestas, pero ninguna capa es infalible. Firefox ejecuta cada sitio web en un entorno aislado (sandbox) independiente, pero los atacantes intentan combinar fallos en el código de renderizado con fallos en el entorno aislado para escapar a un contexto con más privilegios. Hemos liderado el sector en el desarrollo y la adopción de Rust, pero aún no podemos permitirnos detenerlo todo para reescribir décadas de código en C++, especialmente porque Rust solo mitiga ciertas clases (muy comunes) de vulnerabilidades”.
Otras prácticas de seguridad que se llevan a cabo dentro de Mozilla son las técnicas de análisis dinámico, como la de fuzzing. Sin embargo, si bien el fuzzing ha resultado ser eficaz en la práctica, desde la fundación dicen que “algunas partes del código son más difíciles de someter a fuzzing que otras, lo que da lugar a una cobertura desigual”.
Bobby Holley reconoce que el “terremoto” provocado por Claude Mythos puede resultar aterrador en el corto plazo, pero que en última instancia es una gran noticia debido a que el descubrimiento de vulnerabilidades empleando solo esfuerzo humano puede costar meses, lo que da una ventaja evidente a los atacantes. Además, esto también hace que el descubrimiento de los fallos de seguridad resulte más económico al requerir de menos tiempo y recursos, cosa que fue recalcada en su momento por Anthropic cuando presentó su iniciativa Project Glasswing.
Aunque no ha escondido su sorpresa, Holley ha intentado calmar un poco la euforia al final diciendo que en Mozilla no han “detectado ningún error que no hubiera podido detectar un investigador humano de primer nivel. Algunos predicen que los futuros modelos de IA descubrirán formas de vulnerabilidades totalmente nuevas que desafían nuestra comprensión actual, pero nosotros no lo creemos así”. A esto se suma, según la versión del CTO, el diseño modular de Firefox, que facilita su evaluación por parte de humanos.
En resumidas cuentas, Mozilla ha reconocido públicamente y con el uso previo de Claude Mythos que Firefox 150 tiene 271 vulnerabilidades, así que la fundación ya tiene una larga lista de tareas pendientes para garantizar la seguridad de su aplicación estrella, a pesar de que su uso no ha parado de disminuir con el paso de los años y en la actualidad solo es un rival claro para Chromium en Linux, donde va por delante en aspectos como la aceleración por hardware, el soporte de Wayland y la adaptación a Flatpak, si bien la mayor parte del trabajo en esos frentes lleva la firma de Red Hat y no la de Mozilla.
La entrada Mozilla usa Claude Mythos para descubrir una multitud de vulnerabilidades en Firefox es original de MuyLinux
