Mozilla: Mythos de la Anthropic a găsit 271 de vulnerabilități zero-day în Firefox 150

Conform arstechnica.com, Mozilla a anunțat că modelul Mythos de la Anthropic a identificat 271 de vulnerabilități de securitate în Firefox 150. CTO-ul Mozilla susține că noul model de inteligență artificială este „la fel de capabil” ca cei mai buni cercetători în securitate din lume. De asemenea, se pune întrebarea dacă modelul a ratat vulnerabilitatea #272.

👉 Limitarea accesului public la Mythos din motive de securitate

La începutul acestei luni, Anthropic a declarat că modelul său Mythos Preview este atât de eficient în identificarea vulnerabilităților în domeniul cibernetic încât compania a limitat lansarea inițială la „un grup restrâns de parteneri critici din industrie”. Aceasta a dus la dezbateri intense cu privire la faptul că modelul ar putea prevesti o eră a atacurilor de hacking asistate de inteligență artificială accelerate sau dacă Anthropic doar creează hype pentru un pas relativ normal în avansarea capacităților AI.

👉 Rezultatele detectării vulnerabilităților în Firefox 150

Mozilla a adăugat date importante la această dezbatere, anunțând într-un post pe blog că accesul timpurie la Mythos Preview a ajutat la identificarea prealabilă a 271 de vulnerabilități de securitate în versiunea Firefox 150. Rezultatele au fost semnificative, suficient încât CTO-ul Firefox, Bobby Holley, să declare entuziast că, în bătălia nesfârșită dintre atacatorii cibernetici și apărarea cibernetică, „apărătorii au, în sfârșit, o șansă de a câștiga, decisiv.”

Holley nu a oferit detalii despre severitatea celor sute de vulnerabilități pe care Mythos le-a detectat, analizând pur și simplu codul sursă nepublicat al celei mai recente versiuni a Firefox. Spre comparație, el a menționat că modelul Opus 4.6 de la Anthropic a găsit doar 22 de erori sensibile la securitate în analiza Firefox 148 de luna trecută.

Vulnerabilitățile identificate de Mythos ar fi putut fi descoperite atât prin tehnici automate de „fuzzing”, cât și prin raționamentul „unui cercetător de securitate de elită” care analizează codul complex al browserului. Dar utilizarea Mythos a eliminat necesitatea de a „concentra multe luni de efort uman costisitor pentru a găsi un singur bug” în multe cazuri, a adăugat Holley.

Datorită eficienței cu care identifică bug-uri, Holley scrie că instrumentele AI precum Mythos înclină balanța securității cibernetice în favoarea apărătorilor, care beneficiază atunci când descoperirea vulnerabilităților devine mai ieftină pentru ambele părți. „Computerele erau complet incapabile să facă acest lucru acum câteva luni, iar acum excelează în asta,” scrie Holley. „Avem mulți ani de experiență în analizarea lucrărilor celor mai buni cercetători în securitate din lume, iar Mythos Preview este la fel de capabil.”

Într-un interviu acordat publicației Wired, Holley a spus că, de acum înainte, acest tip de analiză a vulnerabilităților asistată de AI este ceva ce „fiecare program software trebuie să aibă, deoarece fiecare program software are o mulțime de bug-uri îngropate sub suprafață care sunt acum descoperibile.” Deși este posibil ca viitoarele modele mai avansate decât Mythos să fie capabile să găsească bug-uri pe care modelele actuale le ratează, Holley a afirmat că este încrezător că „cel puțin în cazul Firefox, având un avantaj aici, am depășit curbă.”

Parcurgerea acestei experiențe de apărare asistată de AI ar putea fi deosebit de importantă pentru proiectele open source care stau la baza unei mari părți din internetul modern. Acest lucru se datorează atât faptului că bazele de cod publice sunt mai ușor de explorat de sistemele AI pentru vulnerabilități, cât și pentru că multe dintre aceste proiecte depind de întreținerea inadecvată a voluntarilor pentru securitatea lor.

Într-un eseu publicat săptămâna trecută în New York Times, CTO-ul Mozilla, Raffi Krikorian, a argumentat că dificultatea oamenilor de a găsi bug-uri și de a scrie software complex a creat un echilibru în cercetarea amenințărilor cibernetice pe care Mythos l-ar putea deschide pe scară largă. „Programatorul care a dedicat 20 de ani din viața sa pentru a întreține codul care rulează în produsele folosite de miliarde de oameni? El nu are încă acces la Mythos. Ar trebui să aibă,” a scris Krikorian.