La colaboración de Mozilla y Anthropic logró hallar y solucionar 271 vulnerabilidades en la última versión del buscador con ayuda de Claude Mythos.
El 6 de marzo, dos ingenieros de Mozilla publicaron un artículo en el que revelaban que llevaban varias semanas trabajando con Anthropic Red Team. Esta colaboración surgió de una investigación de Anthropic para medir la capacidad de Claude Opus de encontrar zero-days. Para ello utilizaron el código fuente del navegador Mozilla Firefox, uno de los proyectos open-source más grandes del mundo.
Anthropic contactó al equipo de Mozilla con los resultados. Tras este contacto inicial, iniciaron un trabajo colaborativo que culminó con el descubrimiento 14 bugs de alta gravedad y un total de 22 CVEs. Una vez confirmadas dichas vulnerabilidades, fueron corregidas en Firefox 148.
Sin embargo, la colaboración no quedó ahí. El 21 de Abril, Bobby Holley, CTO de Mozilla, publicó un nuevo artículo. Ambas organizaciones habían continuado trabajando juntas tras los buenos resultados obtenidos.
Esta vez con Mythos Preview
Sin embargo, en esta ocasión no usaron usando Claude Opus, si no Claude Mythos, y los resultados no tienen nada que ver con los anteriores. Firefox 150 sale con correcciones para 271 vulnerabilidades, 10 de ellas calificadas de impacto alto. Cabe destacar que han admitido que «no se han encontrado bugs que un investigador humano de élite no pudiera haber encontrado».
El CTO se ha mostrado optimista, señalando que los equipos que sean capaces de quitarse el vértigo inicial y ponerse manos a la obra tienen una oportunidad de oro. «Por fin los defensores tiene una oportunidad de ganar definitivamente«.
Mythos bien podría ser, si se adopta de forma adecuada, la herramienta que de la ventaja por primera vez a los defensores respecto a los atacantes, ya que históricamente los cibercriminales parten con «ventaja» al tener menos restricciones y, a menudo, más recursos. Además, desarrollar software seguro ha requerido hasta ahora de mayor esfuerzo que intentar explotarlo.
IAs como Mythos podrían girar las tornas y habilitar a proveedores de todo el mundo a sacar código revisado exhaustivamente por modelos punteros.
La importancia del proyecto Glasswing
Añadir al fenómeno Mythos la perspectiva de un proyecto maduro y open-source cambia las cosas. Si se hubiese comercializado ya el modelo y todas estas vulnerabilidades fueran encontradas por un grupo de ciberdelincuentes, esto sería una crisis sin precedentes. Hay que recordar que no estamos hablando de software cualquiera, es un proyecto serio, con foco en la seguridad y más de 6000 contribuidores.
No se trata de un artículo o un tweet de Anthropic que se pueda calificar a la ligera como marketing. Se trata de la reflexión de un ingeniero con casi 20 años de experiencia, 17 de ellos en Mozilla.
Ojalá en los próximos meses veamos más publicaciones de otras empresas que han participado en Glasswing. Porque parece que Mythos si podría ser una amenaza real para la ciberseguridad mundial, y era necesario revisar primero el software crítico antes de sacarlo a la luz.
