Последният основен преглед на Mozilla Firefox пристигна с голяма изненада. Зад кулисите: браузърът е трябвало да поправи 271 уязвимости в сигурността, след като кодът му е претърпял интензивен анализ с Claude Mythos, моделът за изкуствен интелект на Anthropic, фокусиран върху киберсигурността. Случаят далеч не е прост експеримент, а се счита за потенциален повратен момент в начина, по който се защитават големи приложения, свързани с интернет.
Mozilla от години се хвали, че Firefox е един от... по-аудитирани и надеждни браузъри с отворен кодСътрудничеството с Anthropic обаче разкри значителен брой скрити уязвимости. Добрата новина е, че те бяха отстранени, преди да могат да бъдат използвани; опасенията произтичат от откриването до каква степен повърхността на атаката все още крие слабости, които нито ръчното тестване, нито традиционните техники за анализ бяха открили.
Firefox 150: актуализация, белязана от 271 поправени уязвимости
Според Боби Холи, главен технически директор на Mozilla, работата е част от директно сътрудничество с Anthropic В рамките на Project Glasswing, ограничената програма, чрез която компанията за изкуствен интелект позволява на технологичните си партньори да анализират критичен софтуер, сканирането се фокусира върху изходния код на браузъра, като се обръща специално внимание на чувствителни компоненти като рендериращия енджин, пясъчника и слоевете за изолация на процесите.
Холи признава, че исторически погледнато, индустрията е приемала, че Пълното елиминиране на експлойтите беше нереалистична цел.Стратегията включваше максимално затрудняване на атаките чрез слоеве на дълбока защита, пясъчник и по-сигурни езици като Rust, но винаги приемайки, че в крайна сметка ще се появи някаква уязвимост. Масовото откритие на Mythos подсилва тази идея, но същевременно показва, че балансът може би започва да се измества в полза на защитниците.
Самият главен технически директор посочва, че един-единствен провал в откритата категория би бил червена тревога през 2025 г. за силно защитена целОттук и световъртежът, който според Mozilla се е разпространил сред други екипи по сигурността, когато са видели общия брой открити уязвимости наведнъж, сценарий, който изпробва капацитета за реакция на всяка организация.
От Opus до Mythos: Скок напред в одита на ИИ
Сътрудничеството между Mozilla и Anthropic не започна с Mythos. Месеци по-рано фондацията тества... Клод Опус 4.6Усъвършенстваният модел на Anthropic беше използван за преглед на по-ранна версия на браузъра. Този първи тест доведе до коригиране на 22 уязвимости в сигурността във Firefox 148, някои от които сериозни, и дори тогава се смяташе за забележително постижение.
Пристигането на Клод Митос Превю обаче означаваше скок в мащаб от около дванадесет пъти в броя на откритите уязвимостиДокато Opus 4.6 идентифицира няколко десетки уязвимости, Mythos разкри 271 и при вътрешни тестове генерира над 180 работещи експлойта, демонстриращи действителната експлоатационност на тези грешки. По отношение на производителността на одита, това е значително подобрение.
Mozilla подчертава, че моделът на Anthropic е постигнал резултати, сравними с тези на елитни човешки изследователиВажното, поясняват те, не е, че открива изцяло нови видове уязвимости, а че е способно систематично да локализира много от проблемите, които един експерт също би могъл да открие, но за много по-кратко време и в мащаб, който е практически неуправляем за екипи, работещи с ръчни инструменти.
Един момент, който организацията настоява да подчертае, е, че Не са открити уязвимости, които да са извън обсега на добър човек-изследовател.Това е в съответствие с гледната точка на Mozilla, която не вярва, че изкуственият интелект ще създаде методи за атака от нищото, които напълно ще оспорят настоящото ни разбиране за сигурността; по-скоро той усилва работата, която вече може да се свърши, но без ограниченията на времето, умората или ресурсите.
За сложно, модулно приложение като Firefox, проектирано именно така, че хората да могат да разсъждават за различните му части, този подход има смисъл. Това, което променя, не е толкова естеството на грешките, колкото... способността да откриете много повече за по-кратко времеТова е ключово за браузър, който служи като портал към хиляди услуги и приложения, включително финансови платформи, инструменти за дистанционна работа и онлайн обществени услуги в Европейския съюз.
От офанзивен модел до опит за дефанзивно предимство
В продължение на години софтуерната сигурност се е развивала в Нестабилен баланс между нападатели и защитнициПовърхността за атака на съвременния браузър е толкова голяма, че е невъзможно да се покрие напълно с традиционни инструменти, което дава на атакуващите асиметрично предимство: те само трябва да намерят добре разположена уязвимост, за да постигнат целта си.
Mozilla признава, че стратегията ѝ е разчитала на комбинация от дълбоко дълбочинна защита, стриктно използване на пясъчник и интензивно използване на Rust за минимизиране на определени семейства грешки. Това се допълва от техники като размиване (fuzzing), което подлага кода на случайни входни данни, за да предизвика неочаквани грешки. Самият екип на Firefox обаче признава, че има области от кода, които са много по-трудни за размиванеТова оставя пропуски в покритието, които могат да бъдат използвани от търпеливи нападатели.
Използването на изкуствен интелект като Клод Митос въвежда ново парче в този пъзел. За разлика от случайното тестване или ръчните прегледи, моделът е способен на разсъждават относно изходния код, идентифицират подозрителни модели и предлагат експлойти които показват дали дадена грешка е наистина критична. Това намалява изключителната зависимост от високоспециализирани екипи, които са оскъдни и не са в състояние да се справят с количеството софтуер, който трябва да бъде прегледан.
За Mozilla това отваря вратата към постепенно да се намали разликата между грешките, които машините могат да открият, и тези, които човешките експерти могат да локализират.Ако разходите за намиране на уязвимости паднат драстично за защитниците, част от структурното предимство, което имаха нападателите, свикнали да посвещават месеци работа на търсенето на една единствена печеливша уязвимост, изчезва.
Холи признава, че първоначалният шок от това да види толкова много грешки наведнъж е бил нещо като вътрешно земетресение, но твърди, че след като първоначалният шок е отшумял, усещането е положително: ако ресурсите могат да бъдат приоритизирани и усилията да бъдат насочени към коригиране на това, което изкуственият интелект разкрива, Защитниците могат да започнат да играят със същите оръжия.Тоест, при условие че има екипи, способни да поемат обема от резултати и да ги превърнат в ефективни корекции.
Рискове от такъв мощен изкуствен интелект за сигурност: явен нож с две остриета
Наред с умерения ентусиазъм на Mozilla, голяма част от европейския сектор за киберсигурност следи отблизо... потенциал за злоупотреба с инструменти като Claude MythosСъщата система, която позволява намирането на недостатъци във Firefox, може да се използва, в неподходящи ръце, за автоматизиране на откриването на уязвимости в операционни системи, горещи портфейли, децентрализирани приложения или услуги от критична инфраструктура.
Anthropic е наясно с този риск и всъщност поддържа Mythos е достъпен с много ограничен достъп чрез Project Glasswing.Големи технологични компании като Apple, Microsoft, Google, Amazon Web Services, Linux Foundation и самата Mozilla са част от тази група, която използва модела за одит на собствения си софтуер и в някои случаи на стратегическа инфраструктура. Идеята е да се контролира отблизо какво се анализира и с какви цели.
Последните доклади показват, че при контролирани тестове Клод Митос е достигнал Идентифицирайте и използвайте уязвимости от типа „нулев ден“ в широко използвани системиот браузъри до операционни системи. Документирано е дори, че може да извършва сложни кибероперации съвсем автономно, като например многоетапни симулации на проникване в корпоративни мрежи.
Тези възможности предизвикаха интерес не само от компании, но и от правителства и разузнавателни агенцииВ Съединените щати например се съобщава, че Агенцията за национална сигурност дори е използвала Mythos в класифицирани мрежи, въпреки обществените резерви относно използването на подобни инструменти във военни или наблюдателни контексти.
За Европа, където дебатът за Регулиране на изкуствения интелект и защита на данните Това е особено интензивно; случаи като Firefox и Mythos предлагат аргументи на всички страни: от една страна, те показват стойността на добре управлявания изкуствен интелект за защита на милиони потребители; от друга страна, те подчертават необходимостта да се гарантира, че тези видове модели няма да подхранват нови поколения мащабни автоматизирани атаки.
Въздействие върху екосистемата на отворения софтуер и върху европейските потребители
Firefox заема уникална позиция в браузърния пейзаж. Въпреки че е загубил пазарен дял от Chromium и неговите производни, той остава... ключов компонент в среди, където свободният софтуер и поверителността са ценени, както и много европейски публични администрации, академични институции и напреднали потребители на GNU/Linux системи.
В този контекст, откриването на 271 уязвимости може да се тълкува по два начина. От една страна, то потвърждава, че дори Високо одитираните проекти с отворен код могат да крият голям брой грешки.Просто защото кодовата база е огромна и ръчният преглед не може да достигне навсякъде. От друга страна, това показва, че отвореният модел на разработка улеснява външни инструменти, включително усъвършенстван изкуствен интелект, да проверяват кода и допринася за подобряване на неговата сигурност.
Mozilla признава, че с помощта на Mythos вече има дълъг списък от предстоящи задачи за укрепване на сигурността на тяхното водещо приложение. За крайните потребители в Испания и останалата част от Европа препоръката е проста: поддържайте браузъра си актуализиран да се възползват от тези корекции. Версия 150 не само поправя откритите грешки, но и поддържа темпото на подобрения в производителността, съвместимостта и функциите, като например пясъчник и управление на разрешенията за локална мрежа.
Освен това, случаят с Firefox може да послужи като прецедент за други проекти с отворен код Тези инструменти се използват ежедневно в бизнеса, публичните органи и критичните услуги. Широко разпространените инструменти – уеб сървъри, криптографски библиотеки, рамки за разработка – биха могли да се възползват от подобни одити, задвижвани от изкуствен интелект, което е особено актуално в Европейския съюз, където директивите за киберсигурност и цифрова устойчивост стават все по-строги.
Предизвикателството, както самата Mozilla признава, е, че много от тези проекти нямат достатъчно човешки или икономически ресурси за поемане на потока от открития които модел като Mythos може да генерира. Именно тук влизат в действие както фондациите за свободен софтуер, така и публичните политики, подкрепящи сигурността с отворен код, въпрос, който вече беше повдигнат в Брюксел след инциденти като Log4Shell.
Нов етап във връзката между хората и изкуствения интелект в киберсигурността
Отвъд анекдота с 271-те уязвимости, случаят с Firefox повдига въпроса... промяна на фокуса във връзката между човешките изследователи и изкуствения интелект в киберсигурността. Вместо да противопоставя едни срещу други, Mozilla се застъпва за модел, в който усъвършенстваните инструменти разширяват възможностите на екипите по сигурност, без да заместват тяхната преценка или опит.
Организацията описва Клод Митос като един вид неуморим изследовател по сигурносттаспособни да преглеждат големи количества код, да предлагат експлойти и да идентифицират рискови модели. Наред с тях, човешките специалисти остават отговорни за приоритизирането, потвърждаването, коригирането и вземането на решения за това кои промени да бъдат въведени в крайния продукт.
Тази съвместна визия има преки последици за европейския пазар на киберсигурност, където вече работят компании и изследователски центрове, които... Те експериментират с изкуствен интелект за одити на код, анализ на зловреден софтуер или откриване на прониквания.Ако резултатите на Mozilla бъдат възпроизведени в други проекти, може да видим съкращаване на времето за реакция при критични повреди и намаляване на натиска върху претоварените екипи по сигурността, поне частично.
В същото време, опитът на Anthropic и Mozilla ясно показва важността на Преоценете методите, използвани за измерване на производителността на моделите с изкуствен интелект в задачите по сигурността. Самата Anthropic призна, че много от настоящите бенчмаркове вече не са достатъчни при оценката на реалните възможности на най-новите ѝ системи, което налага разработването на по-взискателни и представителни тестове.
Ако има едно нещо, за което Mozilla и Anthropic изглежда са единодушни, то е, че засега, Няма пълен заместител на човешката преценка в управлението на риска. Изкуственият интелект ускорява и разширява търсенето на проблеми, но решението какво да се поправи, как да се направи и в какъв срок все още зависи от екипи от хора, които трябва да балансират сигурността, въздействието върху потребителите и наличните ресурси.
Всичко сочи, че пускането на Firefox 150 с корекции за 271 уязвимости, маркирани от Клод Митос, ще бъде запомнено като момента, в който Киберсигурността направи сериозна крачка към интелигентна автоматизация.По този начин браузърът на Mozilla се превръща в пример за това как да се интегрира високо ниво на изкуствен интелект в жизнения цикъл на разработка и поддръжка на критичен продукт, без да се изпускат от поглед свързаните с това рискове или необходимостта от строг човешки надзор. За потребителите, разработчиците и политиците в Испания и Европа урокът е ясен: изкуственият интелект вече не е просто футуристична концепция, а инструмент, който започва да пребалансира везните в битка, която десетилетия наред беше наклонена в полза на нападателите.
