Decennialang hadden aanvallers het voordeel in cyberbeveiliging. Kunstmatige intelligentie staat mogelijk op het punt dat te veranderen.

In een blogpost die dinsdag werd gepubliceerd, zei Mozilla, de ontwikkelaar van de Firefox-browser, dat een vroege versie van Anthropic's Claude Mythos AI – die de afgelopen weken de aandacht heeft getrokken vanwege zijn vermeende cyberbeveiligingsvermogen – hielp bij het identificeren van 271 kwetsbaarheden in de browser tijdens interne tests. Deze bugs zijn deze week gepatcht.

De resultaten benadrukken hoe geavanceerde AI-systemen grote codebases kunnen analyseren en zwakke punten kunnen opsporen die voorheen uitgebreide handmatige beoordeling door menselijke cyberbeveiligingsonderzoekers vereisten.

"Nu deze mogelijkheden in handen komen van meer verdedigers, ervaren veel andere teams nu dezelfde duizeligheid als wij toen de bevindingen voor het eerst duidelijk werden," schreef Mozilla. "Voor een gehard doelwit zou slechts één zo'n bug in 2025 al een 'code rood'-situatie zijn geweest, en zo veel tegelijkertijd doet je afvragen of het überhaupt mogelijk is om bij te blijven."

Mozilla had eerder een ander Anthropic-model getest dat 22 beveiligingsgevoelige bugs identificeerde in een eerdere Firefox-release. Ondanks deze successen erkende Mozilla dat de cyberbeveiligingsindustrie de volledige eliminatie van software-exploits lange tijd als een "onrealistisch doel" heeft beschouwd.

"Tot nu toe heeft de industrie de strijd om veiligheid grotendeels tot een patstelling gebracht," schreef het bedrijf. "Leveranciers van kritieke internet-geëxposeerde software zoals Firefox nemen beveiliging extreem serieus en hebben teams van mensen die elke ochtend opstaan met de gedachte hoe ze gebruikers veilig kunnen houden."

Mozilla zei dat het nieuwe AI-systeem broncode kan analyseren en kwetsbaarheden kan identificeren op manieren die voorheen afhankelijk waren van schaarse menselijke expertise. Mozilla zei echter dat het bedrijf aangemoedigd was om te zien dat er geen bugs werden gevonden die niet door "een elite menselijke onderzoeker" ontdekt hadden kunnen worden.

"Sommige commentatoren voorspellen dat toekomstige AI-modellen volledig nieuwe vormen van kwetsbaarheden zullen blootleggen die ons huidige begrip te boven gaan, maar dat denken wij niet," zeiden ze. "Software zoals Firefox is modulair ontworpen zodat mensen over de juistheid ervan kunnen redeneren. Het is complex, maar niet willekeurig complex."

De resultaten suggereren echter dat AI-tools ontwikkelaars in staat zouden kunnen stellen grote aantallen kwetsbaarheden te ontdekken voordat aanvallers ze misbruiken — hoewel omgekeerd, in de verkeerde handen, dit grote problemen zou kunnen veroorzaken voor zowel softwarebedrijven als gebruikers.

Mythos, gelanceerd in maart, is Anthropic's meest geavanceerde model voor redeneren, coderen en cyberbeveiligingstaken. Interne bedrijfsmaterialen beschrijven het systeem als onderdeel van een nieuwe modellagen boven de eerdere Opus-serie van het bedrijf.

Tests die vóór de release van het model werden uitgevoerd, toonden aan dat het duizenden voorheen onbekende kwetsbaarheden kon identificeren in belangrijke besturingssystemen en webbrowsers.

Anthropic heeft de toegang tot het systeem beperkt via een beperkt programma genaamd Project Glasswing, dat geselecteerde technologiebedrijven – waaronder Amazon, Apple en Microsoft – de mogelijkheid geeft om het model te gebruiken om software op zwakke punten te scannen. Dit weerspiegelt een groeiende inspanning binnen de cyberbeveiligingsindustrie om AI-systemen te gebruiken om kwetsbaarheden te identificeren en te patchen voordat aanvallers ze kunnen misbruiken.

Dezelfde technologie zou echter ook nieuwe vormen van cyberaanvallen mogelijk kunnen maken. Beveiligingsonderzoekers zeggen dat AI-systemen die in staat zijn om code op schaal te analyseren, de ontdekking van uitbuitbare kwetsbaarheden in veelgebruikte software zouden kunnen automatiseren.

Na de lancering van Mythos toonden tests door het Britse AI Security Institute aan dat de AI autonoom complexe cyberoperaties kon uitvoeren, inclusief het voltooien van een meerfasige simulatie van een bedrijfsnetwerkaanval zonder menselijke tussenkomst. Deze capaciteiten hebben de aandacht getrokken van zowel regeringen als inlichtingendiensten.

Ondanks een oproep van de regering van president Donald Trump om het gebruik van Anthropic's technologie te staken vanwege een conflict over het gebruik ervan in oorlog- en surveillancekwesties, werd maandag bekend dat de National Security Agency (NSA) Claude Mythos Preview draaide op geclassificeerde netwerken, volgens bronnen die bekend zijn met de implementatie. Het gebruik van Mythos onderstreept de groeiende interesse onder Amerikaanse veiligheidsdiensten in het vermogen van het model om kritieke softwarekwetsbaarheden te identificeren.

De prestaties van het model hebben ook beperkingen blootgelegd in bestaande AI-evaluatiesystemen. Eerder deze maand erkende Anthropic dat verschillende cyberbeveiligingsbenchmarks niet langer volstaan om de capaciteiten van zijn nieuwste modellen te meten.

Mozilla zei dat de resultaten wijzen op een potentiële verschuiving in cyberbeveiliging, waarbij verdedigers het langdurige voordeel dat aanvallers hebben gehad, mogelijk beginnen te dichten.

"We zijn enorm trots op de manier waarop ons team deze uitdaging is aangegaan, en anderen zullen dat ook doen," schreef Mozilla. "Ons werk is nog niet af, maar we zijn de hoek om gegaan en kunnen een toekomst ontwaren die veel beter is dan alleen maar bijblijven. Verdedigers hebben eindelijk een kans om doorslaggevend te winnen."

Mozilla reageerde niet onmiddellijk op een verzoek om commentaar van Decrypt.