dimecres, 29 d’abril del 2026
Anthropic

IA de seguretat: Claude troba 22 vulnerabilitats a Firefox

Claude Opus 4.6 va descobrir 22 vulnerabilitats crítiques a Firefox en dues setmanes, 14 d'alta gravetat. Així treballa la IA en ciberseguretat.

Redacció IA · 8 de març del 2026 CiberseguretatVulnerabilitats
IA de seguretat: Claude troba 22 vulnerabilitats a Firefox

IA de seguretat: Claude troba 22 vulnerabilitats a Firefox

La intel·ligència artificial ha fet un pas decisiu en el camp de la ciberseguretat: el model Claude Opus 4.6 d’Anthropic ha identificat 22 vulnerabilitats en el navegador Firefox en tan sols dues setmanes de feina autònoma. Catorze d’aquestes vulnerabilitats van ser classificades com d’alta gravetat, una xifra que representa gairebé una cinquena part de tots els problemes crítics que Mozilla va resoldre al llarg de tot l’any 2025.

Com la IA detecta vulnerabilitats crítiques a Firefox

Firefox no és un programari qualsevol. És un dels navegadors més ben testats i segurs del món, amb centenars de milions d’usuaris diaris que depenen d’ell per navegar per contingut potencialment perillós. Precisament per això el projecte el va triar com a terreny de prova: si la IA podia trobar errors en un codi tan rigorosament revisat, quedaria demostrat que les seves capacitats de detecció de vulnerabilitats anaven molt més enllà del que s’havia vist fins ara.

El procés va començar centrant-se en el motor JavaScript del navegador, una part especialment sensible del codi perquè és la responsable d’executar codi extern no verificat cada vegada que un usuari visita una pàgina web. En menys de vint minuts d’exploració, Claude va identificar un error de tipus use-after-free, una vulnerabilitat de memòria que podria permetre a un atacant sobreescriure dades amb contingut maliciós arbitrari. L’error va ser validat de manera independent per diversos investigadors abans de notificar-lo a Mozilla.

De l’avaluació interna a la col·laboració amb Mozilla

Tot va néixer d’un experiment intern. A finals del 2025, els investigadors van observar que el model anterior, Opus 4.5, estava a punt de superar totes les proves d’un banc d’avaluació especialitzat en ciberseguretat. Per augmentar la dificultat, van decidir construir un conjunt de dades basat en vulnerabilitats reals i ja conegudes de versions antigues de Firefox —les anomenades CVE— per veure si Claude era capaç de reproduir-les.

Els resultats van sorprendre l’equip: el model va reproduir un percentatge elevat d’aquells errors històrics, cadascun dels quals havia requerit un esforç humà considerable per descobrir. Però quedava un dubte raonable: potser algunes d’aquelles vulnerabilitats ja eren al conjunt d’entrenament del model. Per dissipar qualsevol sospita, el pas lògic era posar Claude a treballar sobre la versió actual de Firefox, buscant errors que per definició no podien haver estat reportats mai.

El resultat va ser contundent. Mentre l’equip validava i enviava el primer informe de vulnerabilitat a Mozilla, Claude ja havia descobert cinquanta entrades de fallada úniques addicionals. La col·laboració amb Mozilla es va formalitzar ràpidament: els investigadors de l’empresa van orientar l’equip sobre quin tipus de troballes mereixien un informe formal i els van animar a enviar tots els casos en bloc sense necessitat de validar-los individualment. En total es van escanejar gairebé 6.000 fitxers C++ i es van presentar 112 informes únics. La majoria de problemes ja han estat corregits a Firefox 148.

Fins on pot arribar la IA: de trobar errors a crear exploits

Més enllà de la detecció, l’equip va voler mesurar els límits reals de les capacitats del model en ciberseguretat. Així va néixer una nova avaluació amb un objectiu molt més delicat: determinar si Claude era capaç no només de trobar vulnerabilitats, sinó també de desenvolupar exploits, és a dir, les eines que un atacant real podria usar per aprofitar-se d’aquells errors i executar codi maliciós.

Aquesta línia de recerca planteja preguntes fonamentals sobre el doble ús de la IA en seguretat informàtica. Les mateixes capacitats que permeten a un model protegir milions d’usuaris podrien, en teoria, ser emprades amb finalitats malicioses. És per això que els investigadors insisteixen en la importància de realitzar aquesta mena d’avaluacions de manera controlada i responsable, amb l’objectiu de comprendre i delimitar els riscos abans que ho facin actors amb males intencions.

Un nou model de col·laboració entre IA i humans

El que ha quedat demostrat amb aquesta iniciativa és que la intel·ligència artificial pot actuar com un investigador de seguretat incansable, capaç d’escanejar milions de línies de codi a una velocitat que cap equip humà no podria igualar. El mes de febrer del 2026, Claude va trobar més vulnerabilitats en Firefox en un sol mes que les que s’havien reportat en qualsevol mes individual de tot l’any anterior.

Això no vol dir que els humans sobrin: la validació, el judici contextual i la comunicació responsable amb els mantenidors del programari continuen sent tasques essencialment humanes. Però la col·laboració entre Anthropic i Mozilla ofereix un model de referència per a com la IA i els experts en seguretat poden treballar junts per protegir el programari del qual depenen centenars de milions de persones cada dia.

FONTS

HN — Anthropic / Claude ↗

Articles relacionats

Claude Opus 4.7: el nou model d'Anthropic per a codi Anthropic · 21 d’abr. del 2026 Emocions en IA: Claude té representacions funcionals Anthropic · 8 d’abr. del 2026 Claude Code descobreix una vulnerabilitat de Linux de 23 anys Anthropic · 6 d’abr. del 2026
← Tornar a l'inici