Mozilla asegura que las 271 vulnerabilidades detectadas por Mythos no tienen 'casi ningún falso positivo'

Mozilla, la fundación sin ánimo de lucro que desarrolla el navegador Firefox, ha ampliado su cadena de ingeniería de seguridad con una nueva herramienta asistida por IA. Bautizado como Mythos, el sistema analiza millones de líneas de C++ y Rust para sacar a la luz fallos de seguridad de memoria y de validación de entradas. La organización afirma que casi todas las 271 vulnerabilidades señaladas fueron confirmadas como errores reales tras revisión humana.

Mozilla recuerda que los analizadores estáticos clásicos han desperdiciado durante años el tiempo de los ingenieros por sus elevadas tasas de falsos positivos. Mythos combina un gran modelo de lenguaje con análisis de flujo de datos y ejecución simbólica para priorizar los informes que sí representan un vector de ataque explotable. La fundación señala que una parte significativa de los parches resultantes corresponde a problemas críticos o de gravedad alta, cerrados antes de que investigadores externos los descubrieran a través de los programas de recompensa por errores.

Firefox es uno de los primeros grandes proyectos de código abierto que se declara 'plenamente convencido' del descubrimiento de errores asistido por IA. Big Sleep, de Google, y Copilot Security, de Microsoft, siguen un planteamiento similar, aunque sus tasas de falsos positivos no se han detallado públicamente en términos comparables. Mozilla anunció que publicará la metodología y la taxonomía de errores de Mythos para investigadores externos en las próximas semanas.