Cea mai recentă recenzie majoră a Mozilla Firefox a venit cu o mare surpriză. În culise: browserul a trebuit să remedieze 271 de vulnerabilități de securitate după ce codul său a fost supus unei analize intensive cu Claude Mythos, modelul de inteligență artificială axat pe securitatea cibernetică al Anthropic. Departe de a fi un simplu experiment, cazul este considerat un potențial punct de cotitură în modul în care sunt protejate aplicațiile mari conectate la internet.
Mozilla se laudă de ani de zile că Firefox este unul dintre... browsere open-source mai auditate și mai robusteCu toate acestea, colaborarea cu Anthropic a scos la iveală un număr considerabil de vulnerabilități latente. Vestea bună este că acestea au fost remediate înainte de a putea fi exploatate; îngrijorarea provine din descoperirea măsurii în care suprafața de atac încă ascundea slăbiciuni pe care nici testarea manuală, nici tehnicile tradiționale de analiză nu le detectaseră.
Firefox 150: o actualizare marcată de 271 de vulnerabilități remediate
Potrivit lui Bobby Holley, CTO al Mozilla, lucrarea face parte dintr-un... colaborare directă cu Anthropic În cadrul Proiectului Glasswing, programul restricționat prin care compania de inteligență artificială permite partenerilor tehnologici să analizeze software critic, scanarea s-a concentrat pe codul sursă al browserului, acordând o atenție deosebită componentelor sensibile, cum ar fi motorul de randare, sandbox-ul și straturile de izolare a proceselor.
Holley recunoaște că, din punct de vedere istoric, industria a presupus că Eliminarea completă a exploit-urilor era un obiectiv nerealist.Strategia a implicat îngreunarea cât mai mare a atacurilor prin straturi de apărare în profunzime, sandboxing și limbaje de programare mai sigure, precum Rust, dar acceptând întotdeauna că, în cele din urmă, va apărea o anumită vulnerabilitate. Descoperirea masivă a lui Mythos întărește această idee, dar, în același timp, arată că balanța ar putea începe să se încline în favoarea apărătorilor.
Însuși directorul tehnic subliniază că o singură defecțiune constatată în categoria respectivă ar fi fost alertă roșie în 2025 pentru o țintă extrem de protejatăDe aici și vertijul care, potrivit Mozillei, s-a răspândit și în rândul altor echipe de securitate atunci când au văzut numărul total de vulnerabilități descoperite simultan, un scenariu care testează capacitatea de reacție a oricărei organizații.
De la Opus la Mythos: Un salt înainte în auditul IA
Colaborarea dintre Mozilla și Anthropic nu a început cu Mythos. Cu câteva luni mai devreme, fundația testase Claude Opus 4.6Modelul avansat al Anthropic a fost folosit pentru a analiza o versiune anterioară a browserului. Primul test a dus la corectarea a 22 de vulnerabilități de securitate din Firefox 148, unele dintre ele severe, și a fost considerat o realizare remarcabilă chiar și atunci.
Sosirea lui Claude Mythos Preview a însemnat însă o o creștere de aproximativ douăsprezece ori a numărului de vulnerabilități detectateDeși Opus 4.6 a identificat câteva zeci de vulnerabilități, Mythos a descoperit 271 și, în teste interne, a generat peste 180 de exploatări funcționale care demonstrează exploatabilitatea reală a acestor erori. În ceea ce privește productivitatea auditului, aceasta este o îmbunătățire semnificativă.
Mozilla subliniază că modelul Anthropic a atins un performanță comparabilă cu cea a cercetătorilor umani de elităImportant, clarifică ei, nu este că descoperă tipuri complet noi de vulnerabilități, ci că este capabil să localizeze sistematic multe dintre problemele pe care le-ar putea găsi și un expert, dar într-un timp mult mai scurt și la o scară practic imposibil de gestionat pentru echipele manuale.
Un aspect pe care organizația insistă să îl sublinieze este acela că Nu au fost detectate vulnerabilități care să fie dincolo de raza de acțiune a unui cercetător uman competent.Acest lucru se aliniază cu punctul de vedere al Mozillei, care nu crede că inteligența artificială va crea din senin metode de atac care să pună complet la îndoială înțelegerea noastră actuală asupra securității; dimpotrivă, amplifică munca care poate fi deja făcută, dar fără limitările de timp, oboseală sau resurse.
Pentru o aplicație complexă și modulară precum Firefox, concepută tocmai astfel încât oamenii să poată raționa asupra diferitelor sale părți, această abordare are sens. Ceea ce se schimbă nu este atât natura erorilor, cât capacitatea de a descoperi mult mai multe în mai puțin timpAcest lucru este esențial pentru un browser care servește drept poartă de acces către mii de servicii și aplicații, inclusiv platforme financiare, instrumente de lucru la distanță și servicii publice online din Uniunea Europeană.
De la modelul ofensiv la încercarea de a obține un avantaj defensiv
De ani de zile, securitatea software a evoluat într-o Un echilibru precar între atacatori și apărătoriSuprafața de atac a unui browser modern este atât de mare încât este imposibil să o acoperim complet cu instrumente tradiționale, ceea ce le-a oferit atacatorilor un avantaj asimetric: aceștia trebuie doar să găsească o vulnerabilitate bine plasată pentru a-și atinge scopul.
Mozilla recunoaște că strategia sa s-a bazat pe o combinație de apărare în profunzime, sandboxing strict și utilizare intensă a Rust pentru a minimiza anumite familii de erori. Acest lucru este completat de tehnici precum fuzzing-ul, care supune codul unor intrări aleatorii pentru a forța erori neașteptate. Cu toate acestea, echipa Firefox însăși recunoaște că există zone ale codului care sunt mult mai greu de rezolvatAcest lucru lasă lacune în acoperire care pot fi exploatate de atacatori pacienți.
Utilizarea unei inteligențe artificiale precum Claude Mythos introduce o nouă piesă în puzzle. Spre deosebire de testele aleatorii sau recenziile manuale, modelul este capabil să raționamentul privind codul sursă, identificarea tiparelor suspecte și propunerea de exploit-uri care demonstrează dacă o defecțiune este cu adevărat critică. Acest lucru reduce dependența exclusivă de echipe extrem de specializate, care sunt rare și incapabile să gestioneze cantitatea de software care trebuie revizuită.
Pentru Mozilla, acest lucru deschide ușa către pentru a reduce treptat decalajul dintre erorile pe care le pot detecta mașinile și cele pe care le pot localiza experții umani.Dacă costul găsirii vulnerabilităților scade drastic pentru apărători, o parte din avantajul structural pe care îl aveau atacatorii, obișnuiți să dedice luni de muncă vânării unei singure vulnerabilități profitabile, dispare.
Holley recunoaște că șocul inițial de a vedea atâtea erori simultan a fost nimic altceva decât un cutremur intern, dar susține că, odată ce șocul inițial s-a potolit, sentimentul este pozitiv: dacă resursele pot fi prioritizate și eforturile concentrate pe corectarea a ceea ce dezvăluie IA, Apărătorii pot începe să joace cu aceleași arme.Adică, cu condiția să existe echipe capabile să absoarbă volumul de rezultate și să le transpună în patch-uri eficiente.
Riscurile unei IA de securitate atât de puternice: o sabie cu două tăișuri
Pe lângă entuziasmul moderat al Mozillei, o mare parte din sectorul european al securității cibernetice urmărește îndeaproape... potențialul de abuz al instrumentelor precum Claude MythosAcelași sistem care permite găsirea defectelor în Firefox ar putea fi folosit, în mâini greșite, pentru a automatiza descoperirea vulnerabilităților în sistemele de operare, portofele electronice, aplicații descentralizate sau servicii de infrastructură critică.
Anthropic este conștient de acest risc și, de fapt, menține Mythos este disponibil cu acces foarte limitat prin intermediul Proiectului GlasswingCompanii tehnologice importante precum Apple, Microsoft, Google, Amazon Web Services, Fundația Linux și însăși Mozilla fac parte din acest grup, care folosește modelul pentru a audita propriul software și, în unele cazuri, infrastructura strategică. Ideea este de a controla îndeaproape ce se analizează și în ce scopuri.
Rapoarte recente indică faptul că, în teste controlate, Claude Mythos a atins Identificarea și exploatarea vulnerabilităților zero-day în sistemele utilizate pe scară largăde la browsere la sisteme de operare. S-a documentat chiar că poate efectua operațiuni cibernetice complexe destul de autonom, cum ar fi simulări de intruziuni în mai multe etape în rețele corporative.
Aceste capacități au stârnit interesul nu doar din partea companiilor, ci și din partea guverne și agenții de informațiiÎn Statele Unite, de exemplu, s-a raportat că Agenția Națională de Securitate a rulat chiar Mythos pe rețele clasificate, în ciuda rezervelor publice cu privire la utilizarea unor astfel de instrumente în contexte de război sau de supraveghere.
Pentru Europa, unde dezbaterea privind Reglementarea IA și protecția datelor Este deosebit de intens; cazuri precum Firefox și Mythos oferă muniție tuturor părților: pe de o parte, demonstrează valoarea unei inteligențe artificiale bine guvernate pentru a proteja milioane de utilizatori; pe de altă parte, subliniază necesitatea de a ne asigura că aceste tipuri de modele nu ajung să alimenteze noi generații de atacuri automate la scară largă.
Impactul asupra ecosistemului software-ului deschis și asupra utilizatorilor europeni
Firefox ocupă o poziție unică în peisajul browserelor. Deși a pierdut cotă de piață în fața Chromium și a derivatelor sale, rămâne o... o componentă cheie în mediile în care software-ul liber și confidențialitatea sunt apreciate, la fel ca multe administrații publice europene, instituții academice și utilizatori avansați ai sistemelor GNU/Linux.
În acest context, descoperirea a 271 de vulnerabilități poate fi interpretată în două moduri. Pe de o parte, confirmă că chiar și Proiectele open-source auditate intens pot ascunde un număr mare de erori.Pur și simplu pentru că baza de cod este enormă, iar revizuirea manuală nu poate ajunge peste tot. Pe de altă parte, demonstrează că modelul de dezvoltare deschis facilitează inspectarea codului de către instrumente externe, inclusiv inteligența artificială avansată, și contribuie la îmbunătățirea securității acestuia.
Mozilla recunoaște că, cu ajutorul Mythos, are acum o o listă lungă de sarcini restante pentru consolidarea securității a aplicației lor emblematice. Pentru utilizatorii finali din Spania și din restul Europei, recomandarea este simplă: menține browser-ul actualizat pentru a beneficia de aceste patch-uri. Versiunea 150 nu numai că remediază erorile detectate, dar menține și ritmul îmbunătățirilor aduse performanței, compatibilității și funcțiilor precum sandboxing-ul și gestionarea permisiunilor rețelei locale.
În plus, cazul Firefox poate servi drept precedent pentru alte proiecte open source Aceste instrumente sunt utilizate zilnic în companii, organisme publice și servicii critice. Instrumentele utilizate pe scară largă - servere web, biblioteci criptografice, cadre de dezvoltare - ar putea beneficia de audituri similare bazate pe inteligență artificială, ceea ce este deosebit de relevant în Uniunea Europeană, unde directivele privind securitatea cibernetică și reziliența digitală devin din ce în ce mai stricte.
Provocarea, așa cum recunoaște chiar Mozilla, este că multe dintre aceste proiecte nu au resurse umane sau economice suficiente pentru a absorbi fluxul de descoperiri pe care un model precum Mythos le poate genera. Aici intră în joc atât fundațiile de software liber, cât și politicile publice care susțin securitatea open source, o problemă care a fost deja ridicată la Bruxelles în urma unor incidente precum Log4Shell.
O nouă fază în relația dintre oameni și inteligența artificială în domeniul securității cibernetice
Dincolo de anecdota celor 271 de vulnerabilități, ceea ce ridică cazul Firefox este o schimbarea de focus în relația dintre cercetătorii umani și inteligența artificială în domeniul securității cibernetice. În loc să-i pună unii împotriva altora, Mozilla pledează pentru un model în care instrumentele avansate extind capacitățile echipelor de securitate, fără a le înlocui judecata sau experiența.
Organizația îl descrie pe Claude Mythos ca fiind un fel de cercetător neobosit în domeniul securitățiicapabile să revizuiască cantități mari de cod, să propună exploatări și să identifice modele de risc. Alături de aceștia, specialiștii umani rămân responsabili de prioritizarea, confirmarea, corectarea și decizia privind modificările introduse în produsul final.
Această viziune colaborativă are implicații directe pentru piața europeană a securității cibernetice, unde deja operează companii și centre de cercetare care... Aceștia experimentează cu inteligența artificială pentru audituri de cod, analize de programe malware sau detectarea intruziunilor.Dacă rezultatele Mozillei sunt replicate în alte proiecte, este posibil să vedem timpi de reacție la erori critice redusi și presiunea asupra echipelor de securitate suprasolicitate redusă, cel puțin parțial.
În același timp, experiența Anthropic și Mozilla evidențiază importanța Reevaluarea metodelor utilizate pentru măsurarea performanței modelelor de inteligență artificială în sarcini de securitate. Însăși Anthropic a recunoscut că multe dintre testele actuale nu au reușit deja să evalueze capacitățile reale ale celor mai recente sisteme ale sale, ceea ce necesită proiectarea unor teste mai solicitante și mai reprezentative.
Dacă există un lucru asupra căruia Mozilla și Anthropic par să fie de acord, este că, deocamdată, Nu există un substitut complet pentru judecata umană în managementul riscurilor. IA accelerează și extinde căutarea problemelor, dar decizia despre ce să remediem, cum să facem acest lucru și în ce termene depinde în continuare de echipe de oameni care trebuie să echilibreze securitatea, impactul asupra utilizatorilor și resursele disponibile.
Totul indică faptul că lansarea Firefox 150, cu patch-uri pentru 271 de vulnerabilități semnalate de Claude Mythos, va fi amintită ca momentul în care Securitatea cibernetică a făcut un pas serios către automatizarea inteligentă.Browserul Mozilla devine astfel un studiu de caz despre cum să integrezi inteligența artificială de nivel înalt în ciclul de dezvoltare și întreținere al unui produs critic, fără a pierde din vedere riscurile asociate sau necesitatea unei supravegheri umane atente. Pentru utilizatori, dezvoltatori și factorii de decizie din Spania și Europa, lecția este clară: inteligența artificială nu mai este doar un concept futurist, ci un instrument care începe să reechilibreze balanța într-o bătălie care fusese înclinată în favoarea atacatorilor timp de decenii.
