La incredulidad era palpable cuando el director de tecnología de Mozilla declaró el mes pasado que la detección de vulnerabilidades asistida por IA significaba que «las vulnerabilidades de día cero estaban contadas» y que «los defensores finalmente tenían la oportunidad de ganar de forma contundente». Al fin y al cabo, parecía parte de un patrón demasiado familiar: seleccionar un puñado de resultados impresionantes logrados por la IA, omitir los detalles que podrían ofrecer una visión más completa y dejar que la euforia continuara.
Consciente del escepticismo, Mozilla ofreció el jueves una mirada entre bastidores al uso de Anthropic Mythos, un modelo de IA para identificar vulnerabilidades de software, para descubrir 271 fallos de seguridad en Firefox en dos meses. En una publicación, los ingenieros de Mozilla dijeron que el avance que finalmente lograron, listo para su uso general, fue principalmente el resultado de dos cosas: (1) la mejora en los modelos mismos y (2) el desarrollo por parte de Mozilla de un «arnés» personalizado que soportaba a Mythos mientras analizaba el código fuente de Firefox.
Los ingenieros afirmaron que sus experiencias previas con la detección de vulnerabilidades asistida por IA estuvieron plagadas de problemas. Normalmente, alguien solicitaba a un modelo que analizara un bloque de código. El modelo generaba informes de errores con una lectura plausible, a menudo a una escala sin precedentes. Sin embargo, invariablemente, cuando los desarrolladores humanos investigaban más a fondo, descubrían que un gran porcentaje de los detalles eran ilusorios. En consecuencia, debían invertir un tiempo considerable en gestionar los informes de vulnerabilidades de la forma tradicional.
El trabajo de Mozilla con Mythos fue diferente, según declaró Brian Grinstead, Ingeniero Distinguido de Mozilla, en una entrevista. El factor diferenciador más importante fue el uso de un agente de control, un fragmento de código que envuelve un modelo de lógica descriptiva (LLM) para guiarlo a través de una serie de tareas específicas. Para que dicho agente sea útil, requiere importantes recursos para personalizarlo según la semántica, las herramientas y los procesos específicos del proyecto en el que se utilizará.
Fuente: Ars Technica | Dan Gooding
Para leer más ingresa a: https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/?utm_source=flipboard&utm_content=ArsTechnica/magazine/Ars+Technica