L'última gran revisió de Mozilla Firefox ha arribat amb una sorpresa majúscula entre bastidors: el navegador ha hagut de posar pegats a 271 vulnerabilitats de seguretat després de sotmetre el seu codi a una anà lisi intensiva amb Claude Mythos, el model d'intel·ligència artificial especialitzat en ciberseguretat d'Anthropic. Lluny de ser un simple experiment, el cas s'està prenent com a possible punt d'inflexió en com es protegeixen les grans aplicacions connectades a Internet.
Fa anys que Mozilla presumix que Firefox és un dels navegadors de codi obert més auditats i sòlids, però la col·laboració amb Anthropic ha mostrat que encara hi havia una quantitat considerable de fallades latents. La bona notÃcia és que s'han corregit abans que poguessin ser aprofitats; la inquietud ve de comprovar fins a quin punt la superfÃcie d'atac continuava amagant punts febles que ni les proves manuals ni les tècniques clà ssiques d'anà lisi no havien detectat.
Firefox 150: una actualització marcada per 271 vulnerabilitats corregides
Segons ha explicat Bobby Holley, CTO de Mozilla, la feina s'emmarca en una col·laboració directa amb Anthropic dins de Project Glasswing, el programa restringit amb què la companyia d'IA permet a socis tecnològics analitzar programari crÃtic. En el cas de Firefox, l'escaneig es va centrar en el codi font del navegador, amb una atenció especial a components sensibles com el motor de renderitzat, el sandbox i les capes d'aïllament de processos.
Holley reconeix que, històricament, el sector ha assumit que eliminar del tot els exploits era un objectiu poc realista. L'estratègia passava per dificultar al mà xim els atacs mitjançant capes de defensa en profunditat, sandboxing i llenguatges més segurs com Rust, però sempre acceptant que alguna escletxa acabaria apareixent. La troballa massiva de Mythos reforça aquesta idea, però alhora mostra que la balança es pot començar a moure a favor dels defensors.
El mateix CTO assenyala que una sola sentència de la categoria dels trobats hauria estat motiu d'alerta vermella el 2025 per a un objectiu molt protegit. D?aquà ve el vertigen que, segons Mozilla, s?ha estès per altres equips de seguretat quan han vist el nombre total de vulnerabilitats destapades de cop, un escenari que posa a prova la capacitat de reacció de qualsevol organització.
D'Opus a Mythos: salt d'escala a l'auditoria amb IA
La col·laboració entre Mozilla i Anthropic no comença amb Mythos. Mesos abans, la fundació havia provat Claude Opus 4.6, un altre model avançat de Anthropic, per revisar una versió anterior del navegador. Aquella primera prova va concloure amb la correcció de 22 problemes de seguretat al Firefox 148, alguns d'ells de gravetat alta, i ja aleshores es va considerar un resultat notable.
L'arribada de Claude Mythos Preview ha suposat, però, un salt d'escala d'unes dotze vegades en nombre de vulnerabilitats detectades. Mentre Opus 4.6 va localitzar un parell de desenes de fallades, Mythos n'ha destapat 271 i, en proves internes, ha arribat a generar més de 180 exploits funcionals que demostren l'explotabilitat real dels errors. En termes de productivitat d?auditoria, és una millora difÃcil d?ignorar.
Des de Mozilla subratllen que el model d'Anthropic ha aconseguit un exercici equiparable al d'investigadors humans d'elit. El que és rellevant, matisen, no és que descobreixi tipus de vulnerabilitat totalment nous, sinó que és capaç de localitzar de forma sistemà tica molts dels problemes que un expert també podria trobar, però en un temps molt inferior ia una escala prà cticament inassumible per a equips manuals.
Un punt que l'organització insisteix a destacar és que no s'ha detectat cap vulnerabilitat que fos fora de l'abast d'un bon investigador humà . Això encaixa amb la visió de Mozilla, que no creu que la IA tragui del no res formes d'atac que desafiïn per complet la comprensió actual de la seguretat; més aviat, amplifica la feina que ja se sap fer, però sense les limitacions de temps, cansament o recursos.
Per a una aplicació complexa i modular com Firefox, dissenyada precisament perquè humans puguin raonar sobre les diferents peces, aquest enfocament té sentit. El que canvia no és tant la naturalesa dels errors com la capacitat de descobrir molts més en menys temps, una cosa clau per a un navegador que serveix de porta d'entrada a milers de serveis i aplicacions, incloses plataformes financeres, eines de treball remot o serveis públics en lÃnia a la Unió Europea.
Del model ofensiu a l'intent d'avantatge defensiu
Durant anys, la seguretat del programari s'ha mogut en un equilibri incòmode entre atacants i defensors. La superfÃcie d'atac d'un navegador modern és tan à mplia que resulta impossible cobrir-la completament amb les eines tradicionals, cosa que ha donat als atacants un avantatge asimètric: només cal trobar una bretxa ben situada per aconseguir el seu objectiu.
Mozilla admet que la seva estratègia s'ha recolzat en una combinació de defensa en profunditat, sandboxing estricte i ús intensiu de Rust per minimitzar certes famÃlies derrors. A això se sumen tècniques com el fuzzing, que sotmet el codi a entrades aleatòries per forçar errors inesperats. Tot i això, el mateix equip de Firefox reconeix que hi ha zones del codi molt més difÃcils de fuzzear, el que deixa buits de cobertura que poden ser aprofitats per atacants pacients.
L'ús d'una IA com a Claude Mythos introdueix una peça nova en aquest tauler. A diferència de les proves aleatòries o de les revisions manuals, el model és capaç de raonar sobre el codi font, identificar patrons sospitosos i proposar exploits que demostren si una fallada és realment crÃtica. D'aquesta manera, es redueix la dependència exclusiva d'equips humans molt especialitzats, que són escassos i no donen abast per a la quantitat de programari que cal revisar.
Per a Mozilla, això obre la porta a tancar a poc a poc la bretxa entre els errors que poden detectar les mà quines i els que aconsegueixen localitzar els experts humans. Si el cost de trobar vulnerabilitats cau de forma drà stica per als defensors, desapareix part de l'avantatge estructural que tenien els qui ataquen, acostumats a dedicar mesos de feina a caçar una sola fallida rendible.
Holley admet que l'impacte inicial de veure tants errors alhora va ser gairebé un terratrèmol intern, però sosté que, un cop passat l'ensurt, la sensació és positiva: si s'aconsegueixen prioritzar recursos i centrar esforços a corregir el que la IA treu a la llum, els defensors poden començar a jugar amb les mateixes armes. Això sÃ, sempre que hi hagi equips capaços d'absorbir el volum de resultats i traduir-los en pegats efectius.
Riscos d'una IA de seguretat tan potent: doble tall evident
En paral·lel a l'entusiasme moderat de Mozilla, bona part del sector de la ciberseguretat europea observa amb atenció el potencial d'abús d'eines com Claude Mythos. El mateix sistema que permet trobar errors al Firefox podria emprar-se, en mans inadequades, per automatitzar el descobriment de vulnerabilitats en sistemes operatius, hot wallets, aplicacions descentralitzades o serveis crÃtics d'infraestructura.
Anthropic és conscient d'aquest risc i, de fet, manté Mythos sota un accés molt limitat a través de Project Glasswing. Grans tecnològiques com ara Apple, Microsoft, Google, Amazon Web Services, la Fundació Linux o la mateixa Mozilla formen part d'aquest cercle, que utilitza el model per auditar programari propi i, en alguns casos, infraestructures estratègiques. La idea és controlar de ben a prop què s'analitza i amb quins objectius.
Informes recents apunten que, en proves controlades, Claude Mythos ha arribat a identificar i explotar vulnerabilitats de dia zero en sistemes à mpliament utilitzats, des de navegadors fins a sistemes operatius. Fins i tot s'ha documentat que pot realitzar operacions cibernètiques complexes de manera força autònoma, com ara simulacions d'intrusió en xarxes corporatives en diverses etapes.
Aquestes capacitats han despertat l'interès no només d'empreses, sinó també de governs i agències d'intel·ligència. Als Estats Units, per exemple, s'ha informat que l'Agència de Seguretat Nacional ha arribat a executar Mythos a xarxes classificades, malgrat les reserves públiques sobre l'ús d'eines d'aquest tipus en contextos bèl·lics o de vigilà ncia.
Per a Europa, on el debat sobre la regulació de la IA i la protecció de dades és especialment intens, casos com el de Firefox i Mythos ofereixen munició a totes les parts: d'una banda, mostren el valor d'una IA ben governada per protegir milions d'usuaris; de l'altra, posen en relleu la necessitat d'assegurar que aquest tipus de models no acaben alimentant noves generacions d'atacs automatitzats a gran escala.
Impacte a l'ecosistema de programari obert i als usuaris europeus
Firefox ocupa una posició particular al panorama de navegadors. Tot i que ha perdut quota davant de Chromium i derivats, continua sent una peça clau en entorns on es valora el programari lliure i la privadesa, com moltes administracions públiques europees, institucions acadèmiques i usuaris avançats en sistemes GNU/Linux.
En aquest context, el descobriment de 271 vulnerabilitats es pot llegir de dues maneres. D'una banda, confirma que fins i tot projectes de codi obert molt auditats poden amagar un nombre elevat de fallades, senzillament perquè la base de codi és enorme i la revisió manual no arriba a tot arreu. De l'altra, demostra que el model de desenvolupament obert facilita que eines externes, incloses IA avançades, puguin inspeccionar el codi i contribuir a millorar-ne la seguretat.
Mozilla reconeix que, amb l'ajuda de Mythos, ara en té una llarga llista de tasques pendents per reforçar la seguretat de la seva aplicació estrella. Pels usuaris finals a Espanya i la resta d'Europa, la recomanació és senzilla: mantenir el navegador actualitzat per beneficiar-se d'aquests pegats. La versió 150 no només corregeix les fallades detectades, sinó que manté el ritme de millores en rendiment, compatibilitat i funcions com el sandboxing o la gestió de permisos de xarxa local.
A més, el cas del Firefox pot servir de precedent per altres projectes de codi obert que es fan servir dià riament en empreses, organismes públics o serveis crÃtics. Eines à mpliament desplegades —servidors web, llibreries criptogrà fiques, frameworks de desenvolupament— podrien beneficiar-se d'auditories similars amb IA, especialment rellevant a la Unió Europea, on les directives sobre ciberseguretat i resiliència digital són cada vegada més exigents.
El repte, com admet la Mozilla mateixa, és que molts d'aquests projectes no compten amb els recursos humans ni econòmics suficients per absorbir el cabal de troballes que un model com Mythos pot generar. És aquà on entren en joc tant les fundacions de programari lliure com les polÃtiques públiques de suport a la seguretat del codi obert, un tema que a Brussel·les ja s'ha posat sobre la taula arran d'incidents com Log4Shell.
Una nova fase en la relació entre humans i IA en ciberseguretat
Més enllà de l'anècdota de les 271 vulnerabilitats, cosa que planteja el cas del Firefox és un canvi denfocament en la relació entre investigadors humans i IA en ciberseguretat. En lloc de contraposar una cosa a l'altra, Mozilla aposta per un model en què els models avançats amplien la capacitat dels equips de seguretat, sense substituir-ne el criteri ni l'experiència.
L'organització descriu Claude Mythos com una mena de investigador de seguretat incansable, capaç de revisar grans quantitats de codi, proposar explotacions i assenyalar patrons de risc. Al seu costat, els especialistes humans continuen sent responsables de prioritzar, confirmar, corregir i decidir quins canvis s'introdueixen al producte final.
Aquesta visió col·laborativa té implicacions directes per al mercat europeu de ciberseguretat, on ja operen empreses i centres de recerca que experimenten amb IA per a auditories de codi, anà lisi de codi maliciós o detecció d'intrusions. Si els resultats de Mozilla es repliquen en altres projectes, potser veiem com els temps de reacció davant de fallades crÃtiques s'escurcen i com la pressió sobre equips de seguretat saturats es redueix, almenys en part.
Alhora, l'experiència d'Anthropic i Mozilla deixa clara la importà ncia de avaluar novament els mètodes amb què es mesura el rendiment dels models d'IA en tasques de seguretat. Anthropic mateix ha admès que molts dels benchmarks actuals ja s'han quedat curts per valorar les capacitats reals dels seus sistemes més recents, cosa que obliga a dissenyar proves més exigents i representatives.
Si alguna cosa semblen tenir clar tant Mozilla com Anthropic és que, per ara, no hi ha un substitut complet per al judici humà en la gestió de riscos. La IA accelera i amplia la cerca de problemes, però la decisió de què es corregeix, com es fa i amb quin calendari segueix depenent d'equips de persones que han d'equilibrar seguretat, impacte a l'usuari i recursos disponibles.
Tot apunta que la publicació de Firefox 150 amb pegats per a 271 vulnerabilitats marcades per Claude Mythos serà recordada com el moment en què la ciberseguretat va fer un pas seriós cap a l'automatització intel·ligent. El navegador de Mozilla es converteix aixà en un cas destudi sobre com integrar IA dalt nivell en el cicle de desenvolupament i manteniment dun producte crÃtic, sense perdre de vista els riscos associats ni la necessitat dun control humà estret. Per a usuaris, desenvolupadors i responsables de polÃtiques a Espanya i Europa, la lliçó és clara: la intel·ligència artificial ja no és només un concepte futurista, sinó una eina que comença a reequilibrar la balança en una batalla que feia dècades que estava inclinada del costat dels atacants.
