Mozilla: Mythos de la Anthropic a găsit 271 de vulnerabilități zero-day în Firefox 150

Recent, Anthropic a anunțat că modelul său Mythos Preview a identificat 271 de vulnerabilități de securitate în Firefox 150. Conform CTO-ului Mozilla, acest nou model de inteligență artificială este „la fel de capabil” ca cei mai buni cercetători de securitate din lume, ridicând întrebări despre viitorul securității cibernetice. Sursa: arstechnica.com

👉 Discuții legate de eficiența și impactul modelului Mythos Preview

În această lună, Anthropic a afirmat că modelul său Mythos Preview este atât de eficient în identificarea vulnerabilităților de securitate, încât compania a limitat lansarea inițială la „un grup restrâns de parteneri critici din industrie”. Aceasta a generat o intensă dezbatere cu privire la dacă modelul prefigurează o eră a atacurilor cibernetice asistate de inteligență artificială sau dacă Anthropic doar creează hype pentru un pas relativ normal în avansarea capacităților AI.

Mozilla a adăugat date importante în această dezbatere marți, menționând într-o postare pe blog că accesul timpuriu la Mythos Preview a ajutat-o să pre-identifice 271 de vulnerabilități de securitate în versiunea recent lansată a Firefox. Rezultatele au fost semnificative, suficient încât CTO-ul Firefox, Bobby Holley, să exulte că, în bătălia continuă dintre atacatorii cibernetici și cei care apără, „apărătorii au, în sfârșit, o șansă de a câștiga, decisiv.”

👉 Eficiența AI comparativ cu metodele tradiționale de detectare a erorilor

Holley nu a intrat în detalii despre severitatea celor sute de vulnerabilități detectate de Mythos doar prin analiza codului sursă nepublicat al celei mai recente versiuni a Firefox. Însă, prin comparație, el a notat că modelul Opus 4.6 de la Anthropic a găsit doar 22 de erori sensibile la securitate atunci când a analizat Firefox 148 luna trecută. Vulnerabilitățile identificate de Mythos ar fi putut fi, de asemenea, descoperite prin tehnici automate de „fuzzing” sau de un „cercetător de securitate de elită” care să analizeze codul complex al browser-ului, scrie Holley.

Însă, utilizarea Mythos a eliminat necesitatea de a „concentra multe luni de efort uman costisitor pentru a găsi o singură eroare” în multe cazuri, a adăugat Holley. Prin identificarea erorilor atât de eficient, Holley susține că instrumentele AI precum Mythos înclină balanța securității cibernetice în favoarea apărătorilor, care beneficiază atunci când descoperirea vulnerabilităților devine mai ieftină pentru ambele părți. „Computerele erau complet incapabile să facă acest lucru acum câteva luni, iar acum excelează în asta”, a scris Holley.

„Avem mulți ani de experiență în a despica munca celor mai buni cercetători de securitate din lume, iar Mythos Preview este la fel de capabil.” Într-un interviu acordat revistei Wired, Holley a subliniat că, de acum înainte, acest tip de analiză a vulnerabilității asistată de AI este ceva de care „fiecare software va avea nevoie, deoarece fiecare software are multe erori ascunse care acum pot fi descoperite.”

Și, deși este posibil ca modelele viitoare, mai avansate decât Mythos, să fie capabile să găsească erori pe care modelele actuale le ratează, Holley a declarat că este încrezător că „cel puțin pe partea de Firefox, având un avantaj aici, consider că am depășit curbă.” Parcurgerea teste de apărare asistate de AI ar putea fi deosebit de importantă pentru proiectele open source care stau la baza multor părți ale Internetului modern. Aceasta se datorează atât faptului că codurile lor publice sunt mai ușor de explorat de sistemele AI, cât și pentru că multe dintre aceste proiecte depind de întreținerea voluntarilor, care este insuficientă pentru securitatea lor.

Într-un eseu publicat săptămâna trecută în New York Times, CTO-ul Mozilla, Raffi Krikorian, a argumentat că dificultatea umană de a găsi erori și de a scrie software complex a creat un anumit echilibru în cercetarea amenințărilor cibernetice, pe care Mythos ar putea să-l rupă total. „Programatorul care a dedicat 20 de ani din viața sa pentru a menține un cod care rulează în produse folosite de miliarde de oameni? El nu are încă acces la Mythos. Ar trebui să aibă,” a scris Krikorian.