Dezvoltatorul Firefox, Mozilla, a dezvăluit că o versiune timpurie a AI-ului Claude Mythos de la Anthropic a identificat 271 de vulnerabilități în browserul Firefox în timpul testării interne, toate fiind remediate săptămâna aceasta.
Descoperirile indică modul în care sistemele AI avansate încep să scaneze baze de cod extinse la o scară care odată depindea de ore lungi de muncă manuală a cercetătorilor în securitate cibernetică. Mozilla a declarat că chiar și țintele software fortificate ar putea fi acum examinate mai profund într-un timp mai scurt.
„Pe măsură ce aceste capabilități ajung în mâinile mai multor apărători, multe alte echipe experimentează acum aceeași amețeală pe care am simțit-o și noi când descoperirile au ieșit la iveală,” a scris Mozilla. „Pentru o țintă fortificată, doar o singură astfel de eroare ar fi fost o alertă roșie în 2025, iar atâtea dintr-o dată te fac să te întrebi dacă este chiar posibil să ții pasul.”
Testele anterioare, folosind un alt model Anthropic, descoperiseră 22 de erori sensibile la securitate într-o versiune anterioară de Firefox. În ciuda acestui progres, Mozilla a menționat că eliminarea completă a exploatărilor software a fost mult timp considerată nerealistă.
„Până acum, industria a dus o luptă echilibrată în securitate,” a scris compania. „Furnizorii de software critic expus la internet, cum ar fi Firefox, iau securitatea extrem de în serios și au echipe de oameni care se trezesc în fiecare dimineață gândindu-se cum să mențină utilizatorii în siguranță.”
Mozilla a declarat că noul sistem poate revizui codul sursă și semnala slăbiciuni în moduri care anterior necesitau expertiză umană înalt specializată. Rezultatele interne au arătat că modelul nu a descoperit erori inaccesibile cercetătorilor de top.
„Unii comentatori prezic că viitoarele modele AI vor descoperi forme complet noi de vulnerabilități care sfidează înțelegerea noastră actuală, dar noi nu credem așa,” a spus compania. „Software-ul precum Firefox este proiectat modular pentru ca oamenii să poată raționa despre corectitudinea sa. Este complex, dar nu arbitrar de complex.”
Lansat în martie, Claude Mythos este descris de Anthropic ca fiind cel mai avansat model al său pentru raționament, codificare și sarcini de securitate cibernetică, poziționat deasupra seriei sale anterioare Opus. Testele de pre-lansare au sugerat că ar putea identifica mii de vulnerabilități necunoscute pe diverse sisteme de operare și browsere.
Accesul la sistem rămâne limitat printr-o inițiativă restricționată cunoscută sub numele de Project Glasswing, care permite anumitor firme, inclusiv Amazon, Apple și Microsoft, să scaneze software-ul pentru erori de securitate.
Cercetătorii în securitate avertizează că aceeași capacitate ar putea fi utilizată ofensiv. Instrumentele AI care pot analiza codul la scară largă pot, de asemenea, automatiza descoperirea de erori exploatabile în sistemele software utilizate pe scară largă.
Testele efectuate de Institutul de Securitate AI din Marea Britanie au arătat că modelul ar putea efectua operațiuni cibernetice complexe pe cont propriu, inclusiv finalizarea unei simulări de atac pe rețeaua corporativă în mai multe etape, fără intervenție umană. Aceste rezultate au atras atenția guvernelor și agențiilor de informații.
În ciuda tensiunilor anterioare cu administrația lui Donald Trump privind utilizarea tehnologiei Anthropic, Agenția Națională de Securitate a implementat Claude Mythos Preview pe rețele clasificate, conform persoanelor familiare cu problema. Această mișcare semnalează un interes crescând în rândul agențiilor americane pentru instrumentele AI care pot detecta vulnerabilități critice de software.
Anthropic a recunoscut, de asemenea, că etaloanele actuale de securitate cibernetică se străduiesc să țină pasul cu cele mai recente modele ale sale, ridicând întrebări despre cum să se măsoare performanța AI în acest domeniu.
Mozilla a declarat că rezultatele sugerează un posibil punct de cotitură, unde apărătorii ar putea începe să reducă decalajul de lungă durată cu atacatorii.
„Suntem extrem de mândri de modul în care echipa noastră s-a ridicat la înălțimea acestei provocări, iar alții o vor face și ei,” a scris compania.
„Munca noastră nu este terminată, dar am depășit momentul critic și putem întrezări un viitor mult mai bun decât doar a ne menține. Apărătorii au în sfârșit șansa de a câștiga, decisiv.”
