Najnowsza duża recenzja Przeglądarka Mozilla Firefox przynosi miłą niespodziankę. Za kulisami: przeglądarka musiała załatać 271 luk w zabezpieczeniach po tym, jak jej kod został poddany intensywnej analizie przez Claude'a Mythosa, model sztucznej inteligencji firmy Anthropic, skoncentrowany na cyberbezpieczeństwie. Nie jest to prosty eksperyment, lecz przypadek, który jest uważany za potencjalny punkt zwrotny w sposobie ochrony dużych aplikacji podłączonych do internetu.
Mozilla od lat chwali się, że Firefox jest jednym z bardziej kontrolowane i solidne przeglądarki typu open sourceWspółpraca z Anthropic ujawniła jednak znaczną liczbę ukrytych luk w zabezpieczeniach. Dobrą wiadomością jest to, że zostały one naprawione, zanim mogły zostać wykorzystane; obawy wynikają z odkrycia, w jakim stopniu powierzchnia ataku nadal skrywała słabości, których nie wykryły ani testy manualne, ani tradycyjne techniki analizy.
Firefox 150: aktualizacja, w której naprawiono 271 luk
Według Bobby'ego Holleya, dyrektora ds. technicznych Mozilli, praca ta jest częścią bezpośrednia współpraca z Anthropic W ramach projektu Glasswing, ograniczonego programu, za pośrednictwem którego firma zajmująca się sztuczną inteligencją umożliwia partnerom technologicznym analizowanie krytycznego oprogramowania, skanowanie skupiło się na kodzie źródłowym przeglądarki, zwracając szczególną uwagę na wrażliwe komponenty, takie jak silnik renderujący, piaskownica i warstwy izolacji procesów.
Holley przyznaje, że historycznie branża zakładała, że Całkowite wyeliminowanie exploitów było celem nierealnym.Strategia polegała na maksymalnym utrudnianiu ataków poprzez stosowanie warstw głębokiej obrony, sandboxingu i bezpieczniejszych języków, takich jak Rust, ale zawsze z akceptacją, że w końcu pojawi się jakaś luka. Masowe odkrycie Mythos wzmacnia tę ideę, ale jednocześnie pokazuje, że szala może zacząć się przechylać na korzyść obrońców.
Sam CTO wskazuje, że pojedyncza awaria tej kategorii byłaby czerwony alert w 2025 r. dla silnie chronionego celuStąd zawrót głowy, który według Mozilli ogarnął również inne zespoły ds. bezpieczeństwa, gdy okazało się, że jednocześnie wykryto wiele luk w zabezpieczeniach. To sytuacja, która wystawia na próbę zdolność reagowania każdej organizacji.
Od Opus do Mythos: krok naprzód w audycie sztucznej inteligencji
Współpraca Mozilli i Anthropic nie zaczęła się od Mythos. Kilka miesięcy wcześniej fundacja testowała Claude Opus 4.6Zaawansowany model Anthropic został wykorzystany do przetestowania wcześniejszej wersji przeglądarki. Ten pierwszy test zaowocował usunięciem 22 luk w zabezpieczeniach w Firefoksie 148, z których niektóre były poważne, i już wtedy uznano go za niezwykłe osiągnięcie.
Przybycie Claude Mythos Preview oznaczało jednak skok skali o około dwunastokrotność w liczbie wykrytych lukPodczas gdy Opus 4.6 zidentyfikował kilkadziesiąt luk, Mythos odkrył ich 271, a w testach wewnętrznych wygenerował ponad 180 działających exploitów, demonstrując rzeczywistą możliwość wykorzystania tych błędów. Pod względem wydajności audytu jest to znacząca poprawa.
Mozilla podkreśla, że model Anthropic osiągnął wydajność porównywalna z wydajnością elitarnych badaczyJak wyjaśniają, istotne jest nie to, że narzędzie to odkrywa zupełnie nowe rodzaje luk w zabezpieczeniach, ale to, że jest w stanie systematycznie lokalizować wiele problemów, które mógłby wykryć również ekspert, ale w znacznie krótszym czasie i na skalę praktycznie niemożliwą do opanowania przez zespoły pracujące ręcznie.
Jednym z punktów, na który organizacja kładzie nacisk, jest to, że Nie wykryto żadnych luk, które byłyby poza zasięgiem dobrego badacza.Jest to zgodne z poglądem Mozilli, która nie wierzy, że sztuczna inteligencja stworzy z niczego metody ataków, które całkowicie podważą nasze obecne rozumienie bezpieczeństwa; wręcz przeciwnie, wzmacnia ona pracę, którą można wykonać, ale bez ograniczeń czasu, wysiłku lub zasobów.
W przypadku złożonej, modułowej aplikacji, takiej jak Firefox, zaprojektowanej właśnie tak, aby ludzie mogli wnioskować o jej poszczególnych częściach, takie podejście ma sens. Zmienia się nie tyle charakter błędów, co możliwość odkrycia znacznie więcej w krótszym czasieJest to kluczowe dla przeglądarki, która służy jako brama do tysięcy usług i aplikacji, w tym platform finansowych, narzędzi do pracy zdalnej i internetowych usług publicznych w Unii Europejskiej.
Od modelu ofensywnego do próby uzyskania przewagi obronnej
Przez lata bezpieczeństwo oprogramowania ewoluowało Niepewna równowaga między atakującymi i obrońcamiPowierzchnia ataku współczesnej przeglądarki jest tak duża, że nie da się jej całkowicie pokryć przy użyciu tradycyjnych narzędzi, co daje atakującym asymetryczną przewagę: wystarczy, że znajdą dobrze umiejscowioną lukę w zabezpieczeniach, aby osiągnąć swój cel.
Mozilla przyznaje, że jej strategia opiera się na połączeniu głęboka obrona, rygorystyczne sandboxing i intensywne korzystanie z Rust Aby zminimalizować niektóre rodziny błędów. Uzupełniają to techniki takie jak fuzzing, który poddaje kod losowym danym wejściowym, aby wymusić nieoczekiwane awarie. Jednak sam zespół Firefoksa przyznaje, że istnieją obszary kodu, które są znacznie trudniejsze do rozmyciaPowstają w ten sposób luki w zabezpieczeniach, które mogą zostać wykorzystane przez cierpliwych atakujących.
Wykorzystanie sztucznej inteligencji, takiej jak Claude Mythos, wprowadza nowy element do tej układanki. W przeciwieństwie do losowych testów czy ręcznych przeglądów, model ten jest w stanie analizować kod źródłowy, identyfikować podejrzane wzorce i proponować exploity które pokazują, czy błąd jest rzeczywiście krytyczny. Zmniejsza to wyłączną zależność od wysoce wyspecjalizowanych zespołów, których jest niewiele i które nie są w stanie obsłużyć tak dużej ilości oprogramowania wymagającego przeglądu.
Dla Mozilli otwiera to drzwi do stopniowo zmniejszać różnicę między błędami wykrywanymi przez maszyny a tymi, które mogą zlokalizować eksperci.Jeśli koszt znajdowania luk w zabezpieczeniach drastycznie spadnie, zniknie część przewagi strukturalnej, jaką mieli atakujący, przyzwyczajeni do poświęcania miesięcy pracy na wyszukiwanie pojedynczych, opłacalnych luk.
Holley przyznaje, że początkowy szok wywołany jednoczesnymi objawami tak wielu błędów był niczym innym jak wewnętrznym trzęsieniem ziemi, ale utrzymuje, że gdy początkowy szok minął, uczucie stało się pozytywne: jeśli uda się ustalić priorytety zasobów i skupić wysiłki na korygowaniu błędów ujawnianych przez sztuczną inteligencję, Obrońcy mogą zacząć grać tą samą bronią.Oczywiście pod warunkiem, że istnieją zespoły, które potrafią przetworzyć całą liczbę wyników i przełożyć je na skuteczne poprawki.
Ryzyko związane z tak potężnymi zabezpieczeniami sztucznej inteligencji: wyraźny miecz obosieczny
Obok umiarkowanego entuzjazmu Mozilli, znaczna część europejskiego sektora cyberbezpieczeństwa uważnie obserwuje potencjalne nadużycia narzędzi takich jak Claude MythosTen sam system, który umożliwia wyszukiwanie luk w Firefoksie, mógłby zostać wykorzystany, jeśli trafiłby w niepowołane ręce, do automatyzacji wykrywania luk w systemach operacyjnych, gorących portfelach, zdecentralizowanych aplikacjach lub krytycznych usługach infrastrukturalnych.
Antropiczny jest świadomy tego ryzyka i w rzeczywistości utrzymuje Dostęp do Mythos jest bardzo ograniczony w ramach projektu GlasswingDo tej grupy należą duże firmy technologiczne, takie jak Apple, Microsoft, Google, Amazon Web Services, Linux Foundation i sama Mozilla, które wykorzystują ten model do audytu własnego oprogramowania, a w niektórych przypadkach także infrastruktury strategicznej. Chodzi o ścisłą kontrolę tego, co jest analizowane i w jakim celu.
Najnowsze doniesienia wskazują, że w kontrolowanych testach Claude Mythos osiągnął Identyfikuj i wykorzystuj luki typu zero-day w powszechnie używanych systemachod przeglądarek po systemy operacyjne. Udokumentowano nawet, że może on wykonywać złożone operacje cybernetyczne w sposób całkowicie autonomiczny, takie jak wieloetapowe symulacje włamań do sieci korporacyjnych.
Możliwości te wzbudziły zainteresowanie nie tylko firm, ale także rządy i agencje wywiadowczeNa przykład w Stanach Zjednoczonych pojawiły się doniesienia, że Narodowa Agencja Bezpieczeństwa uruchomiła system Mythos w tajnych sieciach, mimo obaw opinii publicznej co do wykorzystania takich narzędzi w kontekście wojny lub inwigilacji.
Dla Europy, gdzie toczy się debata na temat Regulacja sztucznej inteligencji i ochrona danych Jest to szczególnie intensywne; przypadki takie jak Firefox i Mythos dostarczają argumentów obu stronom: z jednej strony pokazują wartość dobrze zarządzanej sztucznej inteligencji w ochronie milionów użytkowników, a z drugiej strony podkreślają potrzebę zapewnienia, że tego typu modele nie doprowadzą do powstania nowych generacji zautomatyzowanych ataków na szeroką skalę.
Wpływ na ekosystem otwartego oprogramowania i użytkowników europejskich
Firefox zajmuje wyjątkową pozycję w krajobrazie przeglądarek. Choć stracił udział w rynku na rzecz Chromium i jego pochodnych, nadal pozostaje… kluczowy element w środowiskach, w których cenione jest wolne oprogramowanie i prywatność, podobnie jak wiele europejskich administracji publicznych, instytucji akademickich i zaawansowanych użytkowników systemów GNU/Linux.
W tym kontekście odkrycie 271 luk można interpretować dwojako. Z jednej strony potwierdza to, że nawet Dokładnie kontrolowane projekty open-source mogą skrywać dużą liczbę błędów.Po prostu dlatego, że baza kodu jest ogromna i ręczna weryfikacja nie wszędzie jest w stanie dotrzeć. Z drugiej strony, pokazuje to, że otwarty model rozwoju ułatwia zewnętrznym narzędziom, w tym zaawansowanej sztucznej inteligencji, inspekcję kodu i przyczynia się do poprawy jego bezpieczeństwa.
Mozilla przyznaje, że dzięki Mythosowi ma teraz długa lista oczekujących zadań mających na celu wzmocnienie bezpieczeństwa ich flagowej aplikacji. Dla użytkowników końcowych w Hiszpanii i reszcie Europy rekomendacja jest prosta: aktualizuj swoją przeglądarkę Aby skorzystać z tych poprawek. Wersja 150 nie tylko naprawia wykryte błędy, ale także utrzymuje tempo ulepszeń w zakresie wydajności, kompatybilności i funkcji takich jak sandboxing i zarządzanie uprawnieniami w sieci lokalnej.
Co więcej, sprawa Firefoksa może służyć jako precedens dla inne projekty open source Narzędzia te są wykorzystywane codziennie w przedsiębiorstwach, instytucjach publicznych i służbach krytycznych. Powszechnie stosowane narzędzia – serwery WWW, biblioteki kryptograficzne, frameworki programistyczne – mogłyby skorzystać z podobnych audytów wspomaganych sztuczną inteligencją, co jest szczególnie istotne w Unii Europejskiej, gdzie dyrektywy dotyczące cyberbezpieczeństwa i odporności cyfrowej stają się coraz bardziej rygorystyczne.
Jak przyznaje sama Mozilla, wyzwaniem jest to, że wiele z tych projektów nie ma wystarczające zasoby ludzkie lub ekonomiczne, aby wchłonąć napływ ustaleń jakie może wygenerować model taki jak Mythos. To właśnie tutaj w grę wchodzą zarówno fundacje wolnego oprogramowania, jak i polityki publiczne wspierające bezpieczeństwo oprogramowania open source – kwestia ta była już poruszana w Brukseli po incydentach takich jak Log4Shell.
Nowy etap w relacji między ludźmi a sztuczną inteligencją w cyberbezpieczeństwie
Oprócz anegdoty o 271 lukach w zabezpieczeniach, sprawa Firefoksa wywołuje pewne obawy. zmiana punktu ciężkości w relacji między badaczami a sztuczną inteligencją w cyberbezpieczeństwie. Zamiast konfrontować je ze sobą, Mozilla opowiada się za modelem, w którym zaawansowane narzędzia rozszerzają możliwości zespołów ds. bezpieczeństwa, nie zastępując ich osądu ani doświadczenia.
Organizacja opisuje Claude'a Mythosa jako rodzaj niestrudzony badacz bezpieczeństwaSą oni w stanie analizować duże ilości kodu, proponować exploity i identyfikować wzorce ryzyka. Oprócz nich specjaliści odpowiadają za priorytetyzację, potwierdzanie, korygowanie i decydowanie, które zmiany zostaną wprowadzone do produktu końcowego.
Ta wspólna wizja ma bezpośrednie implikacje dla europejskiego rynku cyberbezpieczeństwa, na którym już działają firmy i ośrodki badawcze Eksperymentują ze sztuczną inteligencją do audytu kodu, analizy złośliwego oprogramowania i wykrywania włamań.Jeśli wyniki Mozilli zostaną powtórzone w innych projektach, możemy być świadkami skrócenia czasu reakcji na krytyczne awarie i zmniejszenia presji na przeciążone zespoły ds. bezpieczeństwa, przynajmniej częściowo.
Jednocześnie doświadczenie Anthropic i Mozilli wyraźnie pokazuje, jak ważne jest Ponowna ocena metod stosowanych do pomiaru wydajności modeli AI w zadaniach bezpieczeństwa. Sam Anthropic przyznał, że wiele obecnych testów porównawczych nie odzwierciedla już rzeczywistych możliwości jego najnowszych systemów, co wymusza zaprojektowanie bardziej wymagających i reprezentatywnych testów.
Jeśli jest coś, co do czego Mozilla i Anthropic wydają się być zgodni, to to, że na razie Nie ma nic, co mogłoby w pełni zastąpić osąd człowieka w zarządzaniu ryzykiem. Sztuczna inteligencja przyspiesza i rozszerza wyszukiwanie problemów, ale decyzja o tym, co naprawić, jak to zrobić i w jakim terminie, nadal zależy od zespołów ludzi, którzy muszą znaleźć równowagę między bezpieczeństwem, wpływem na użytkowników i dostępnymi zasobami.
Wszystko wskazuje na to, że wydanie przeglądarki Firefox 150 z poprawkami na 271 luk w zabezpieczeniach wskazanych przez Claude'a Mythosa zostanie zapamiętane jako moment, w którym Cyberbezpieczeństwo wykonało poważny krok w kierunku inteligentnej automatyzacji.Przeglądarka Mozilli staje się zatem studium przypadku, jak zintegrować zaawansowaną sztuczną inteligencję z cyklem rozwoju i utrzymania kluczowego produktu, nie tracąc z oczu związanego z tym ryzyka ani potrzeby ścisłego nadzoru ze strony człowieka. Dla użytkowników, deweloperów i decydentów w Hiszpanii i Europie lekcja jest jasna: sztuczna inteligencja nie jest już tylko futurystyczną koncepcją, ale narzędziem, które zaczyna przechylać szalę w walce, która od dekad była przechylona na korzyść atakujących.
