Mozilla Encontró 12 Bugs Críticos en Firefox Usando Claude Mythos

El equipo de seguridad de Mozilla utilizó Claude Mythos Preview y orquestación personalizada para descubrir 12 vulnerabilidades latentes en Firefox, incluyendo un bug de XSLT de 20 años, un fallo de renderización HTML de 15 años y múltiples sandbox escapes que eludieron fuzzing profesional durante años.

El equipo combinó tres técnicas: dirección (orientar la atención del modelo hacia superficies de ataque específicas), escalado (ejecutar el harness en alto volumen) y apilamiento (encadenar múltiples pasadas del modelo para filtrar ruido). El enfoque permitió que Claude Mythos razonara sobre cadenas de explotación de múltiples pasos — no solo coincidencia de patrones. Mozilla señala que los bugs de esta clase son "notoriamente difíciles de encontrar con fuzzing", especialmente sandbox escapes que requieren razonamiento sobre límites de confianza entre procesos y ciclos de refcount a través de IPC.

Los 12 bugs divulgados muestran una profundidad inusual en reportes generados por IA. El Bug 2025977 es un use-after-free de XSLT de 20 años: llamadas reentrantes de key() disparan un rehash de tabla hash que libera su almacenamiento de respaldo mientras un puntero de entrada sin procesar permanece vivo. El Bug 2024437 es un fallo de 15 años en el elemento HTML legend, desencadenado por orquestación precisa de profundidad de pila de recursión, propiedades expando y recolección de ciclos. El Bug 2021894 explota una condición de carrera sobre IPC, permitiendo que un proceso de contenido comprometido manipule refcounts de IndexedDB en el proceso padre para desencadenar un UAF y potencial sandbox escape. El Bug 2026305 explota semántica de rowspan=0 anexando más de 65.535 filas para desbordar un bitfield de diseño de 16 bits — no detectado por fuzzers durante años.

Para arquitectos de seguridad empresarial, este trabajo redefine la auditoría asistida por IA como práctica presente, no promesa futura. Una IA que sintetiza primitivos de explotación multi-componente a través de límites de IPC, ciclos de recolección de basura y bucles de eventos anidados opera a un nivel que amplifica el esfuerzo manual de red team. Las organizaciones que ejecutan plataformas basadas en Electron, motores de navegador incrustados o bases de código C++ de larga vida deben auditar su pipeline de descubrimiento de vulnerabilidades ahora.

Los reportes de seguridad generados por IA eran conocidos recientemente como ruido de bajo señal, baratos de generar y costosos para que los mantenedores los triaguen. Ese cálculo ha cambiado. Claude Mythos Preview con el harness de orquestración genera reportes de suficiente especificidad que Mozilla financió la divulgación temprana para acelerar la adopción en toda la industria. La barrera de calidad se ha movido.

Existen limitaciones reales. Los sandbox escapes divulgados asumen que un proceso de contenido comprometido ya está ejecutando código controlado por atacantes. Los exploits de cadena completa requieren un foothold inicial. Mozilla también señala que el modelo no logró evadir subsistemas endurecidos — incluyendo protecciones de prototipo congelado añadidas después de divulgaciones anteriores de sandbox escape — lo que sugiere que la técnica complementa el endurecimiento arquitectónico en lugar de reemplazarlo. Los 12 bugs representan una muestra arbitraria; el conjunto completo no divulgado probablemente se inclina hacia hallazgos más sensibles.

La decisión de Mozilla de publicar primitivos de explotación detallados antes del embargo habitual de varios meses señala urgencia. Con Claude Mythos Preview nombrado como el catalizador del descubrimiento, Anthropic obtiene un punto de prueba creíble de terceros para la capacidad del modelo frontier en investigación de seguridad adversarial — un área donde las puntuaciones de referencia importan mucho menos que los parches entregados.