Twórca przeglądarki Firefox, Mozilla, ujawnił, że wczesna wersja sztucznej inteligencji Anthropic Claude Mythos zidentyfikowała 271 luk w przeglądarce Firefox podczas wewnętrznych testów, a wszystkie z nich zostały załatane w tym tygodniu.
Odkrycia te wskazują, w jaki sposób zaawansowane systemy AI zaczynają skanować duże bazy kodu w skali, która kiedyś wymagała długich godzin ręcznej pracy badaczy cyberbezpieczeństwa. Mozilla stwierdziła, że nawet uodpornione cele oprogramowania mogą być teraz dogłębniej badane w krótszym czasie.
„Gdy te możliwości trafiają w ręce większej liczby obrońców, wiele innych zespołów doświadcza teraz tego samego zawrotu głowy, co my, gdy wyniki po raz pierwszy stały się widoczne” – napisała Mozilla. „Dla wzmocnionego celu, zaledwie jeden taki błąd byłby sygnałem alarmowym w 2025 roku, a tak wiele naraz sprawia, że zastanawiasz się, czy w ogóle można nadążyć.”
Wcześniejsze testy z wykorzystaniem innego modelu Anthropic ujawniły 22 błędy wrażliwe na bezpieczeństwo w poprzedniej wersji Firefoxa. Pomimo tego postępu, Mozilla zauważyła, że całkowite wyeliminowanie exploitów oprogramowania od dawna uważane jest za nierealistyczne.
„Do tej pory branża w dużej mierze walczyła o bezpieczeństwo na remis” – napisała firma. „Dostawcy krytycznego oprogramowania narażonego na działanie internetu, takiego jak Firefox, traktują bezpieczeństwo niezwykle poważnie i mają zespoły ludzi, którzy każdego ranka wstają z łóżka, myśląc o tym, jak zapewnić użytkownikom bezpieczeństwo.”
Mozilla stwierdziła, że nowy system może przeglądać kod źródłowy i wskazywać słabe punkty w sposób, który wcześniej wymagał wysoko wyspecjalizowanej ludzkiej wiedzy. Wewnętrzne wyniki pokazały, że model nie odkrył błędów wykraczających poza zasięg najlepszych badaczy.
„Niektórzy komentatorzy przewidują, że przyszłe modele AI odkryją zupełnie nowe formy luk, które wymykają się naszemu obecnemu rozumieniu, ale my tak nie uważamy” – podała firma. „Oprogramowanie takie jak Firefox jest zaprojektowane modułowo, aby ludzie mogli wnioskować o jego poprawności. Jest złożone, ale nie jest arbitralnie złożone.”
Wypuszczony w marcu, Claude Mythos jest opisywany przez Anthropic jako najbardziej zaawansowany model do zadań związanych z rozumowaniem, kodowaniem i cyberbezpieczeństwem, pozycjonowany powyżej wcześniejszej serii Opus. Testy przedpremierowe sugerowały, że może on zidentyfikować tysiące nieznanych luk w systemach operacyjnych i przeglądarkach.
Dostęp do systemu pozostaje ograniczony poprzez zastrzeżoną inicjatywę znaną jako Project Glasswing, która umożliwia wybranym firmom, w tym Amazonowi, Apple i Microsoftowi, skanowanie oprogramowania w poszukiwaniu błędów bezpieczeństwa.
Badacze bezpieczeństwa ostrzegają, że ta sama zdolność może być wykorzystana ofensywnie. Narzędzia AI, które potrafią analizować kod na dużą skalę, mogą również automatyzować wykrywanie możliwych do wykorzystania błędów w szeroko stosowanych systemach oprogramowania.
Testy przeprowadzone przez brytyjski AI Security Institute wykazały, że model może samodzielnie przeprowadzać złożone operacje cybernetyczne, w tym ukończyć wieloetapową symulację ataku na sieć korporacyjną bez udziału człowieka. Wyniki te przyciągnęły uwagę rządów i agencji wywiadowczych.
Pomimo wcześniejszych napięć z administracją Donalda Trumpa dotyczących wykorzystania technologii Anthropic, Agencja Bezpieczeństwa Narodowego wdrożyła Claude Mythos Preview w sieciach sklasyfikowanych, według osób zaznajomionych ze sprawą. Ten ruch sygnalizuje rosnące zainteresowanie wśród amerykańskich agencji narzędziami AI, które potrafią wykrywać krytyczne luki w oprogramowaniu.
Anthropic przyznał również, że obecne benchmarki cyberbezpieczeństwa mają trudności z dotrzymaniem kroku jego najnowszym modelom, co rodzi pytania o to, jak mierzyć wydajność AI w tej dziedzinie.
Mozilla stwierdziła, że wyniki sugerują możliwy punkt zwrotny, w którym obrońcy mogą zacząć zmniejszać długotrwałą różnicę między nimi a atakującymi.
„Jesteśmy niezwykle dumni z tego, jak nasz zespół sprostał temu wyzwaniu, a inni również to zrobią” – napisała firma.
„Nasza praca nie jest zakończona, ale przekroczyliśmy pewien próg i możemy dostrzec przyszłość znacznie lepszą niż tylko nadążanie. Obrońcy w końcu mają szansę na zdecydowane zwycięstwo.”
