En una colaboración con Mozilla, Anthropic usó su modelo Claude Opus 4.6 para analizar el código fuente de Firefox durante dos semanas. El resultado: más de 100 bugs descubiertos, incluyendo 22 vulnerabilidades que recibieron avisos de seguridad oficiales (CVEs) y 14 clasificadas como de alta severidad. Varios de estos fallos llevaban años — posiblemente décadas — sin ser detectados.
Todos los bugs críticos ya fueron parcheados en Firefox 148, lanzado en febrero. Algunos fixes llegarán en la próxima versión.
Lo que encontró Claude (y lo que no pudieron los métodos tradicionales)
Según Mozilla, Claude identificó clases enteras de errores que los métodos automatizados tradicionales — como el fuzzing, usado durante décadas — habían pasado por alto. Esto no es un detalle menor: Firefox es uno de los proyectos open source más escrutados y testeados del mundo.
El equipo de Anthropic empezó por el motor JavaScript de Firefox y luego expandió el análisis a otras partes del codebase. Anthropic eligió Firefox deliberadamente precisamente porque es un objetivo difícil: si Claude podía encontrar vulnerabilidades ahí, podía encontrarlas en casi cualquier proyecto.
Los datos, desglosados
Hay cierta confusión entre fuentes sobre las cifras exactas, así que vale la pena aclararlo:
- Más de 100 bugs totales encontrados en el análisis completo
- 22 CVEs (Common Vulnerabilities and Exposures) — avisos de seguridad oficiales asignados
- 14 de alta severidad — vulnerabilidades que podrían haber sido explotadas activamente
- 90+ bugs adicionales — problemas de código que no alcanzaron nivel de CVE pero igualmente necesitaban corrección
Anthropic entregó casos de prueba reproducibles junto con cada hallazgo, lo que hizo que el proceso de revisión y parcheo fuera significativamente más ágil para Mozilla.
El costo: US$4.000 en créditos API
Un dato curioso del reporte de TechCrunch: Anthropic gastó unos US$4.000 en créditos de API durante el proyecto. Encontrar vulnerabilidades resultó mucho más fácil que explotarlas — el equipo intentó crear exploits de prueba de concepto, pero solo lo logró en dos casos.
Eso habla bien de la seguridad de Firefox en su estado actual, pero también revela que la capacidad de Claude para auditar código a escala es desproporcionadamente poderosa respecto al costo. US$4.000 por encontrar 14 vulnerabilidades de alta severidad es una fracción de lo que costaría una auditoría de seguridad tradicional.
Por qué importa
Mozilla ya anunció que planea integrar análisis de código con IA en su flujo interno de seguridad. Y tiene sentido: las capacidades de Claude para análisis de código están demostrando ser uno de los casos de uso más concretos y valiosos de la IA actual.
Para el ecosistema open source, esto abre una puerta enorme. Si un modelo de IA puede encontrar en dos semanas lo que décadas de testing manual y automatizado no detectaron, el estándar de lo que consideramos “código seguro” acaba de cambiar. La pregunta es quién más va a hacer esto — y si los actores maliciosos ya lo están haciendo.
