Firefox-ontwikkelaar Mozilla heeft bekendgemaakt dat een vroege versie van Anthropic’s Claude Mythos AI tijdens interne tests 271 kwetsbaarheden in de Firefox-browser heeft geïdentificeerd, die allemaal deze week zijn gepatcht.
De bevindingen wijzen erop hoe geavanceerde AI-systemen grote codebases beginnen te scannen op een schaal die voorheen afhankelijk was van lange uren handmatig werk door cybersecurity-onderzoekers. Mozilla zei dat zelfs robuuste softwaredoelen nu in kortere tijd dieper kunnen worden onderzocht.
“Naarmate deze capaciteiten in handen komen van meer verdedigers, ervaren veel andere teams nu dezelfde verbazing als wij toen de bevindingen voor het eerst duidelijk werden,” schreef Mozilla. “Voor een robuust doel zou slechts één zo’n bug in 2025 al code rood zijn geweest, en zo veel tegelijkertijd doet je afvragen of het überhaupt mogelijk is om bij te blijven.”
Eerdere tests met een ander Anthropic-model hadden 22 beveiligingsgevoelige bugs blootgelegd in een vorige Firefox-release. Ondanks die vooruitgang merkte Mozilla op dat het volledig elimineren van software-exploits lange tijd als onrealistisch werd beschouwd.
“Tot nu toe heeft de industrie beveiliging grotendeels tot een gelijkspel gevochten,” schreef het bedrijf. “Leveranciers van kritieke, via internet blootgestelde software zoals Firefox nemen beveiliging extreem serieus en hebben teams van mensen die elke ochtend opstaan met de gedachte hoe ze gebruikers veilig kunnen houden.”
Mozilla zei dat het nieuwe systeem broncode kan beoordelen en zwakheden kan signaleren op manieren die voorheen hooggespecialiseerde menselijke expertise vereisten. Interne resultaten toonden aan dat het model geen bugs ontdekte die buiten het bereik van toponderzoekers lagen.
“Sommige commentatoren voorspellen dat toekomstige AI-modellen volledig nieuwe vormen van kwetsbaarheden zullen blootleggen die ons huidige begrip tarten, maar wij denken van niet,” zei het bedrijf. “Software zoals Firefox is modulair ontworpen zodat mensen kunnen redeneren over de correctheid ervan. Het is complex, maar niet willekeurig complex.”
Claude Mythos, gelanceerd in maart, wordt door Anthropic beschreven als hun meest geavanceerde model voor redeneren, coderen en cybersecuritytaken, gepositioneerd boven de eerdere Opus-serie. Tests voorafgaand aan de release suggereerden dat het duizenden onbekende kwetsbaarheden in besturingssystemen en browsers kon identificeren.
De toegang tot het systeem blijft beperkt via een beperkt initiatief genaamd Project Glasswing, waarmee geselecteerde bedrijven, waaronder Amazon, Apple en Microsoft, software kunnen scannen op beveiligingsfouten.
Beveiligingsonderzoekers waarschuwen dat dezelfde functionaliteit offensief kan worden gebruikt. AI-tools die code op schaal kunnen analyseren, kunnen ook de ontdekking van misbruikbare bugs in veelgebruikte softwaresystemen automatiseren.
Tests door het Britse AI Security Institute toonden aan dat het model complexe cyberoperaties zelfstandig kon uitvoeren, inclusief het voltooien van een meerstaps simulatie van een bedrijfsnetwerkaanval zonder menselijke tussenkomst. Die resultaten hebben de aandacht getrokken van regeringen en inlichtingendiensten.
Ondanks eerdere spanningen met de administratie van Donald Trump over het gebruik van Anthropic’s technologie, heeft de National Security Agency Claude Mythos Preview ingezet op geclassificeerde netwerken, volgens mensen die bekend zijn met de zaak. De stap wijst op een groeiende interesse onder Amerikaanse instanties in AI-tools die kritieke softwarekwetsbaarheden kunnen detecteren.
Anthropic heeft ook erkend dat de huidige cybersecurity-benchmarks moeite hebben om gelijke tred te houden met hun nieuwste modellen, wat vragen oproept over hoe AI-prestaties op dit gebied moeten worden gemeten.
Mozilla zei dat de resultaten wijzen op een mogelijk keerpunt, waarbij verdedigers de langdurige kloof met aanvallers mogelijk beginnen te verkleinen.
“We zijn buitengewoon trots op hoe ons team deze uitdaging is aangegaan, en anderen zullen dat ook doen,” schreef het bedrijf.
“Ons werk is nog niet klaar, maar we zijn de hoek omgegaan en kunnen een toekomst ontwaren die veel beter is dan alleen maar bijblijven. Verdedigers hebben eindelijk een kans om te winnen, beslissend.”
