Firefox 150 se envió esta semana con 271 vulnerabilidades zero-day parcheadas, todas surfaced por Claude Mythos Preview de Anthropic a través de la colaboración Project Glasswing. El CTO de Firefox Bobby Holley, entrevistado sobre el release, llamó a Mythos "igual de capaz que los mejores investigadores de seguridad del mundo." Esa es una escalada sustantiva desde la divulgación de marzo de Mozilla, cuando Claude Opus 4.6 encontró 112 bugs y 22 CVEs de seguridad (14 de alta severidad) que aterrizaron en Firefox 148.
El salto 271 versus 112 sigue el delta de capacidad que Anthropic publicó en su reporte red-team de Mythos. En desarrollo de exploits JavaScript de Firefox 147, Opus 4.6 produjo 2 exploits funcionales a través de varios cientos de intentos. Mythos produjo 181 en la misma tarea, aproximadamente 90 veces la tasa de éxito. En términos de producción, eso es lo que más que duplicó el conteo de descubrimiento de zero-day a escala de Mozilla en un solo paso de generación de modelo. Las 271 vulnerabilidades están todas parcheadas en Firefox 150, por eso Mozilla puede publicar el número. El enmarque de Holley enfatizó que las herramientas de IA ahora pueden "cubrir el espacio entero de errores inductores de vulnerabilidades" en formas que cambian lo que significa enviar software endurecido.
Dos cosas que esto consolida. Uno, los números de capacidad de Anthropic que Sam Altman llamó "marketing basado en el miedo" a principios de esta semana ahora tienen un contrapeso directo en producción: un CTO real en un navegador real que envía diciendo que el modelo real encontró 271 zero-days reales, todos parcheados en el release que envía a cientos de millones de usuarios. La prueba empírica que señalé en la pieza de Altman se ha movido más rápido que doce meses. Dos, el patrón Mozilla-fomenta-presentación-masiva de la colaboración anterior de Opus 4.6 claramente escala bajo el throughput nivel Mythos. El flujo (el modelo encuentra, los humanos verifican, envían) aguantó en 271.
Si mantienes una base de código C/C++ clase-navegador o clase-OS, la pregunta práctica de este release no es "¿podría una IA encontrar bugs en mi código?" Es "¿los defensores en mi cadena de suministro tienen acceso nivel Mythos, y si no, cuándo lo tendrán?" Las cuarenta organizaciones socias de Project Glasswing ahora pueden señalar Firefox 150 como el estudio de caso concreto de lo que un defensor verificado con acceso preview puede lograr. La asimetría favorece a los defensores con acceso, temporalmente. Si no estás en esa lista, la ventana para alcanzar corre según cuánto tarde en que capacidades equivalentes lleguen al tier público de Anthropic o un laboratorio chino de pesos abiertos. El multiplicador 90x en desarrollo de exploits es el número a asumir, no a esperar en contra.