Коли у квітні Anthropic представила свою нову модель Mythos, вона також надіслала суворе попередження всім, хто розробляє програмне забезпечення. Модель була настільки потужною у виявленні вразливостей програмного забезпечення, стверджувала лабораторія, що вона знайшла тисячі помилок високого ступеня серйозності, які потрібно було виправити, перш ніж її можна буде оприлюднити.
Тепер дослідники безпеки браузера Firefox від Mozilla надають детальніший погляд на те, як цей процес виглядає на практиці, і що можливості Mythos означають для безпеки програмного забезпечення загалом.
У публікації, оприлюдненій у четвер, Mozilla повідомила, що Mythos виявив безліч помилок високого ступеня серйозності, зокрема деякі, що дрімали в коді понад десять років.
Це значне покращення порівняно з тим, на що були здатні інструменти AI-безпеки ще шість місяців тому. Досі AI-інструменти для пошуку помилок мали серйозні недоліки, часто завалюючи команди безпеки звітами низької якості та хибними спрацюваннями. Але дослідники Mozilla кажуть, що останнє покоління інструментів досягло перелому, особливо тепер, коли агентні системи можуть оцінювати власну роботу та відфільтровувати погані результати.
“Важко перебільшити, наскільки ця динаміка змінилася для нас за кілька коротких місяців”, — написали дослідники. “По-перше, моделі стали набагато потужнішими. По-друге, ми різко покращили наші методики використання цих моделей”.
Результати вражаючі: у квітні 2026 року Firefox випустив 423 виправлення помилок, порівняно з лише 31 рівно роком раніше. Дослідники також опублікували деталі про 12 помилок, які варіюються від пари незвичайних вразливостей пісочниці до 15-річної помилки в тому, як браузер аналізує HTML-елемент.
“Ці речі насправді раптово стали дуже хорошими”, — розповів TechCrunch Браян Грінстед (Brian Grinstead), видатний інженер Mozilla. “Ми бачимо це під час нашого внутрішнього сканування, бачимо це у зовнішніх звітах про помилки та бачимо це в різноманітних сигналах по всій індустрії”.
Той факт, що система допомогла виявити вразливості в “пісочниці” Firefox, є особливо вражаючим, враховуючи, наскільки складною має бути атака, яка її використовує. Щоб знайти вразливості пісочниці, модель повинна написати скомпрометований патч для браузера, а потім атакувати найбільш захищену частину програмного забезпечення з реалізованим новим кодом. Пошук і демонстрація помилки — це делікатний багатоетапний процес, який вимагає як креативності, так і ретельної уваги.
Щоби зрозуміти контекст: програма винагород за помилки Mozilla виплачує дослідникам, які можуть знайти помилку в пісочниці Firefox, до $20 000 — найвищу доступну винагороду. Незважаючи на велику винагороду, Грінстед каже, що Mythos знаходить більше проблем із пісочницею, ніж будь-коли знаходили люди-дослідники. “Ми їх отримуємо”, — сказав він TechCrunch, “але не в такій кількості, яку ми здатні знайти за допомогою цієї методики”.
Примітно, що команда Firefox досі не використовує AI для виправлення помилок, незважаючи на добре задокументований прогрес у AI-інструментах кодування. Команда просить AI написати патчі для кожної помилки, але отриманий код зазвичай не можна розгортати безпосередньо, і натомість він слугує зразком для інженера-людини.
“Щодо помилок, про які ми говоримо в цьому дописі, кожна з них — це один інженер, який пише патч, і один інженер, який його рецензує”, — каже Грінстед. “Ми не виявили, що це можна автоматизувати”.
Досі не зрозуміло, як нові можливості AI змінять загальний баланс сил у кібербезпеці. Через місяць після попереднього перегляду Mythos більшість виявлених помилок, імовірно, ще не виправлено, що ускладнює оцінку повного масштабу їхнього впливу. Anthropic ретельно дотримується норм відповідального розкриття інформації, але цілком ймовірно, що зловмисники використовують подібні методи за лаштунками, навіть якщо моделі, які вони використовують, не такі хороші.
Виступаючи нещодавно на заході, генеральний директор Anthropic Даріо Амодеї (Dario Amodei) висловив оптимізм, що нові інструменти зрештою будуть на користь захисникам. “Якщо ми правильно це зробимо, ми можемо опинитися в кращій позиції, ніж на початку, тому що ми виправили всі ці помилки. Є лише певна кількість помилок, які потрібно знайти”, — сказав Амодеї. “Тож я думаю, що по той бік цього процесу існує кращий світ”.
Зіткнувшись із неприємними деталями, Грінстед має більш зважену думку: “Це корисно як для атакуючих, так і для захисників, але наявність такого інструменту трохи зміщує перевагу на бік захисту. Реалістично, ніхто ще не знає відповіді на це питання”.
Залишити відповідь
Щоб відправити коментар вам необхідно авторизуватись.