TECNOLOGIA

Mozilla solucionó 271 vulnerabilidades de Firefox encontradas por Claude Mythos de Anthropic en una sola pasada de evaluación

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 6 7 minutos de lectura

Resumen: Mozilla lanzó Firefox 150 con correcciones para 271 vulnerabilidades de seguridad identificadas por Claude Mythos Preview de Anthropic, un modelo Frontier AI inédito distribuido bajo el programa restringido Project Glasswing. La colaboración con Claude Opus 4.6 comenzó a principios de este año con 22 errores encontrados en Firefox 148; Mythos produjo más de doce veces. El CTO de Firefox, Bobby Holley, dijo que las fallas eran "limitadas" y que los defensores "podrían eventualmente encontrarlas", mientras que el Instituto de Seguridad de IA del Reino Unido confirmó que Mythos podría lanzar ataques de red autónomos de múltiples etapas, haciendo de las tensiones de doble uso una cuestión de política central.

Mozilla lanzó Firefox 150 el lunes con correcciones para 271 vulnerabilidades de seguridad identificadas por Claude Mythos Preview de Anthropic, un modelo inédito de Frontier AI limitado a un puñado de organizaciones bajo el Proyecto Glasswing. El número no es interesante porque los errores eran valores atípicos pero no lo eran "No hemos visto un error que algún investigador humano de élite no haya encontrado." Mozilla dijo en una publicación de blog "Los días cero están contados"La cuestión es que ningún equipo humano ha encontrado jamás 271 de ellos tan rápidamente.

La colaboración entre Mozilla y Anthropic comenzó a principios de este año con un esfuerzo más modesto. A partir de febrero, el equipo de seguridad de Firefox utilizó Claude Opus 4.6 para escanear casi 6.000 archivos C++ en el código base del navegador. Este pase generó 112 informes únicos, de los cuales 22 fueron confirmados como errores sensibles a la seguridad y corregidos en Firefox 148. Catorce están clasificados como de alta gravedad, lo que representa casi una quinta parte de todas las vulnerabilidades de alta gravedad de Firefox parcheadas en 2025. Doce veces demasiadas debilidades confirmadas. Bobby Holley, director de tecnología de Firefox, describió la experiencia como beneficiosa para el equipo.Vértigo"

¿Qué es Mythos y quién puede utilizarlo?

Claude es el modelo en el centro de Mythos Preview. El modelo de mitos restringido de Anthropic El programa, Proyecto Glasswing, se anunció el 7 de abril. Es un modelo de frontera de propósito general, no una herramienta específica de seguridad, pero sus capacidades de codificación superan un umbral que Anthropic considera lo suficientemente importante para una distribución controlada. El Instituto de Seguridad de IA del Reino Unido evaluó el modelo y descubrió que era capaz de ejecutar de forma autónoma ataques de red de varias etapas, completando una simulación de ataque de red corporativa de 32 pasos llamada "Los últimosEn tres de cada diez intentos. Puede encadenar múltiples vulnerabilidades pequeñas en un único ataque devastador, reconstruir el código fuente del software implementado para encontrar vulnerabilidades explotables y crear herramientas personalizadas para el movimiento lateral y la extracción de datos una vez dentro de la red.

Espacio de coworking de TNW City: donde ocurre tu mejor trabajo

Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.

El acceso está limitado a 12 socios de lanzamiento nombrados, incluidos Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, The Linux Foundation, Microsoft, Nvidia y Palo Alto Networks, con aproximadamente 40 organizaciones adicionales con acceso para trabajos de seguridad protectora. Anthropic ha comprometido 100 millones de dólares en créditos de uso y 4 millones de dólares en subvenciones directas para organizaciones de seguridad de código abierto, incluidos 2,5 millones de dólares a través de la Fundación Linux para Alpha-Omega y OpenSSF, y 1,5 millones de dólares para la Fundación de Software Apache. El modelo está disponible para los participantes de GlassWing a $25 por millón de tokens de entrada y $125 por millón de tokens de salida a través de Claude API, Amazon Bedrock, Vertex AI de Google Cloud y Microsoft Foundry.

Ya se ha probado una implementación limitada. El mismo día Anthropic anunció Glasswing, un grupo Usuarios no autorizados obtuvieron acceso En la vista previa de Mythos, un incidente que Anthropic dijo que está investigando es el de las URL modelo adivinadas por un entorno de proveedores externos.

El argumento del defensor

Holley enmarca las 271 vulnerabilidades no como quejas sobre la calidad del código de Firefox sino como evidencia de que el panorama de seguridad está cambiando a favor de los defensores por primera vez. "Una brecha entre los errores detectables por máquinas y por humanos favorece a un atacante, que puede concentrar meses de costoso esfuerzo humano en encontrar un solo error."Él escribió."Cerrar esta brecha destruye la ventaja a largo plazo del atacante al abaratar todos los descubrimientos."

La lógica es simple. Una vulnerabilidad de día cero es valiosa para un atacante porque es desconocida. Si un defensor puede encontrar y corregir el mismo error antes de que el atacante lo descubra, el error no tiene valor ofensivo. Históricamente, la disparidad de costos ha favorecido a los atacantes: un navegador como Firefox tiene millones de líneas de código, y una falla no descubierta en cualquiera de ellas es suficiente para explotar. Un investigador de élite en seguridad humana podría pasar semanas o meses encontrando ese defecto. Un modelo como Mythos puede escanear todo el código base en una fracción de ese tiempo. La tesis de Mozilla es que cambia la economía de forma permanente. "Software como Firefox está diseñado de forma modular para que las personas puedan razonar sobre su corrección."Como se indica en la publicación del blog".Es complicado, pero no arbitrariamente complicado. Los errores son finitos y estamos entrando en un mundo en el que eventualmente podremos encontrarlos."

La afirmación es audaz y deliberada. Mozilla sostiene que la era de las vulnerabilidades de día cero en software bien estructurado tiene fecha de caducidad, porque los atacantes no dejarán de buscar, sino porque los defensores llegarán primero.

Número de contextos

271 La figura requiere algo de desembalaje. El aviso de seguridad oficial de Mozilla para Firefox 150, MFSA 2026-30, enumera 41 entradas CVE, incluidos tres paquetes acumulativos de seguridad de memoria estándar que combinan varios errores separados bajo un único identificador. El número 271 representa el recuento total de fallas de código individuales identificadas por Mithos durante su evaluación, muchas de las cuales se agruparon en ese paquete CVE. La distinción es importante porque el número de título y el número de asesor formal miden cosas diferentes: uno mide lo que la IA ha logrado, el otro mide ¿Cuánto código generado por IA se envía realmente? A través del proceso de divulgación de vulnerabilidades estándar de la industria.

Entre las fallas más peligrosas se encuentran las vulnerabilidades de uso después de la liberación en los componentes DOM y WebRTC, el tipo de errores de protección de la memoria que han sido el pan y la mantequilla de los exploits de los navegadores durante dos décadas. Estas no son superficies de ataque sofisticadas. Estos son errores similares que Project Zero de Google ha encontrado en navegadores desde 2014. El programa de investigación de vulnerabilidades de IA de Google, Big Sleep, una colaboración entre Project Zero y DeepMind, encontró un día cero en SQLite en octubre de 2024 y desde entonces se ha expandido para encontrar múltiples fallas en software ampliamente utilizado. La diferencia con el esfuerzo de Mozilla es la escala: 271 errores en una sola pasada de evaluación, parcheados antes del lanzamiento, en una base de código que ha acumulado deuda técnica durante más de dos décadas.

Problema de doble uso

La evaluación del Instituto de Seguridad de IA del Reino Unido de la vista previa de Mythos confirmó lo que los resultados de Mozilla implican desde el otro lado: la misma capacidad que hace que el modelo sea efectivo para encontrar vulnerabilidades es efectivo para explotarlas. El modelo se convirtió en la primera IA en completar "The Last Ones", un punto de referencia diseñado para simular el compromiso de una red corporativa completa. Tuvo éxito en tres de diez intentos, con un promedio de 22 de 32 pasos en todas las carreras. Las pruebas independientes confirmaron que Mythos no puede lanzar ataques autónomos de manera confiable contra organizaciones con defensas bien reforzadas, pero la trayectoria es clara. Cada generación de modelos Frontier ha tenido mejores resultados en pruebas de seguridad agresivas que la anterior.

Esta tensión es para lo que está diseñado el Proyecto Glasswing. Al limitar los Mitos a organizaciones examinadas con mandatos defensivos, Anthropic está tratando de darles a los defensores una ventaja estructurada, una ventana donde los buenos actores pueden escanear y parchear antes de que aumente su capacidad. La técnica se basa en retener restricciones. Las infracciones de proveedores el día del lanzamiento sugieren que el acceso es más difícil de controlar que controlar. Anthropic ha identificado miles de vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores web importantes que utilizan Mythos, y las ha revelado a los proveedores afectados a través de Glasswing.

La creciente presencia empresarial de Anthropic, desde la revisión de contratos legales en Microsoft Word hasta la ciberseguridad a través de Glasswing, refleja una empresa que está monetizando la nube en todos los sectores profesionales donde la precisión importa. La asociación con Mozilla es la demostración más espectacular hasta el momento, no porque el modelo hiciera algo que ningún ser humano podría hacer, sino porque hizo cosas que sólo un puñado de humanos podían hacer, y lo hizo 271 veces en una sola pasada.

La conclusión de Holley captura tanto la promesa como el vértigo: "Nuestro trabajo no ha terminado, pero hemos doblado la esquina y podemos vislumbrar un futuro mejor que simplemente aguantar. Finalmente los defensores tienen la oportunidad de ganar, decisivamente". Que ese futuro llegue depende de si los modelos que encuentran errores están en manos de personas que los solucionan, o si las capacidades se filtran más rápido de lo que se envían los parches. Actualmente, hay 271 formas menos de descifrar Firefox 150. Eso no es un asunto menor. La pregunta es cuánto duran los beneficios cuando la herramienta los encuentra. Al mando de una evaluación extraordinaria Precisamente por lo que puede hacer.

Source link

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 6 7 minutos de lectura
Foto de Redacción - ACN

Redacción - ACN

Somos un portal de noticias líder en la República Dominicana que se especializa en ofrecer una cobertura informativa integral. Desde eventos políticos y económicos hasta avances científicos y noticias de entretenimiento, este sitio web es tu fuente confiable para mantenerse al día con los acontecimientos más relevantes tanto a nivel nacional como internacional. Además de ofrecer informes actualizados, ACN también se destaca por sus análisis en profundidad y sus entrevistas exclusivas que proporcionan una comprensión más completa de las noticias.

Artículos Relacionados

Foto de Google convierte Chrome en una herramienta de inteligencia artificial para el lugar de trabajo con navegación automatizada, eficiencia y DLP empresarial por $6 al mes

Google convierte Chrome en una herramienta de inteligencia artificial para el lugar de trabajo con navegación automatizada, eficiencia y DLP empresarial por $6 al mes

4 minutos hace
Foto de SpaceX S-1 advierte que los centros de datos de IA orbitales pueden no funcionar, meses después de que Musk calificara la IA espacial como una obviedad

SpaceX S-1 advierte que los centros de datos de IA orbitales pueden no funcionar, meses después de que Musk calificara la IA espacial como una obviedad

1 hora hace
Foto de VAST Data recauda mil millones de dólares con una valoración de 30 mil millones de dólares con el respaldo de Nvidia a medida que se acelera la demanda de infraestructura de datos de IA

VAST Data recauda mil millones de dólares con una valoración de 30 mil millones de dólares con el respaldo de Nvidia a medida que se acelera la demanda de infraestructura de datos de IA

2 horas hace
Foto de Pichai abre Cloud Next 2026 con una cartera de pedidos de 240 mil millones de dólares, 750 millones de usuarios de Gemini y planea convertir la búsqueda en un administrador de agentes

Pichai abre Cloud Next 2026 con una cartera de pedidos de 240 mil millones de dólares, 750 millones de usuarios de Gemini y planea convertir la búsqueda en un administrador de agentes

4 horas hace

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba botón