Nejnovější velká recenze Mozilla Firefox přinesl velké překvapení. V zákulisí: Prohlížeč musel opravit 271 bezpečnostních zranitelností poté, co jeho kód prošel intenzivní analýzou pomocí Claude Mythos, modelu umělé inteligence společnosti Anthropic zaměřeného na kybernetickou bezpečnost. Případ zdaleka není jednoduchým experimentem, ale je považován za potenciální zlomový bod v tom, jak jsou chráněny velké aplikace připojené k internetu.
Mozilla se už léta chlubí tím, že Firefox je jedním z... auditovanější a robustnější prohlížeče s otevřeným zdrojovým kódemSpolupráce s Anthropic však odhalila značné množství skrytých zranitelností. Dobrou zprávou je, že tyto byly opraveny dříve, než mohly být zneužity; obavy pramení ze zjištění, do jaké míry povrch útoku stále skrýval slabiny, které neodhalily ani manuální testování, ani tradiční analytické techniky.
Firefox 150: aktualizace označená 271 opravenými zranitelnostmi
Podle Bobbyho Holleyho, technického ředitele Mozilly, je tato práce součástí přímá spolupráce s Anthropic V rámci projektu Glasswing, omezeného programu, jehož prostřednictvím společnost zabývající se umělou inteligencí umožňuje technologickým partnerům analyzovat kritický software, se skenování zaměřilo na zdrojový kód prohlížeče, přičemž zvláštní pozornost byla věnována citlivým komponentám, jako je renderovací engine, sandbox a vrstvy izolace procesů.
Holley uznává, že historicky se v tomto odvětví předpokládalo, že Úplné odstranění exploitů bylo nerealistickým cílem.Strategie spočívala v co největším ztížení útoků pomocí vrstev obrany do hloubky, sandboxu a bezpečnějších jazyků, jako je Rust, ale vždy s akceptováním toho, že se nakonec objeví nějaká zranitelnost. Masivní objev Mythosu tuto myšlenku posiluje, ale zároveň ukazuje, že se rovnováha může začít přesouvat ve prospěch obránců.
Sám technický ředitel zdůrazňuje, že jediné selhání zjištěné kategorie by bylo Červený poplach v roce 2025 pro vysoce chráněný cílProto se podle Mozilly rozšířila závrať, která se šíří mezi dalšími bezpečnostními týmy, když vidí celkový počet odhalených zranitelností najednou, což je scénář, který prověřuje reakční schopnost jakékoli organizace.
Od Opusu k Mythosu: Skok vpřed v auditování umělé inteligence
Spolupráce mezi Mozillou a Anthropic nezačala s Mythosem. O několik měsíců dříve nadace testovala Claude Opus 4.6Pokročilý model společnosti Anthropic byl použit k ověření starší verze prohlížeče. Tento první test vedl k opravě 22 bezpečnostních zranitelností ve Firefoxu 148, z nichž některé byly závažné, a již tehdy byl považován za pozoruhodný úspěch.
Příchod Clauda Mythose Preview však znamenal skok v počtu zjištěných zranitelností přibližně dvanáctinásobnýZatímco Opus 4.6 identifikoval několik desítek zranitelností, Mythos jich odhalil 271 a v interním testování vygeneroval přes 180 funkčních exploitů, které demonstrují skutečnou zneužitelnost těchto chyb. Z hlediska produktivity auditu se jedná o významné zlepšení.
Mozilla zdůrazňuje, že model společnosti Anthropic dosáhl výkon srovnatelný s výkonem elitních lidských výzkumníkůDůležité není, jak upřesňují, že objevuje zcela nové typy zranitelností, ale že je schopen systematicky lokalizovat mnoho problémů, které by mohl najít i expert, ale v mnohem kratším čase a v rozsahu, který je pro manuální týmy prakticky nedosažitelný.
Jeden bod, na který organizace trvá, je, že Nebyly zjištěny žádné zranitelnosti, které by byly mimo dosah dobrého lidského výzkumníka.To je v souladu s názorem Mozilly, která nevěří, že umělá inteligence vytvoří útočné metody z ničeho nic, které zcela zpochybní naše současné chápání bezpečnosti; spíše zesiluje práci, kterou lze již vykonat, ale bez omezení času, únavy nebo zdrojů.
Pro komplexní, modulární aplikaci, jako je Firefox, navrženou přesně tak, aby lidé mohli uvažovat o jejích různých částech, dává tento přístup smysl. Nemění se ani tak povaha chyb, jako spíše samotná... schopnost objevit mnohem více za kratší dobuTo je klíčové pro prohlížeč, který slouží jako brána k tisícům služeb a aplikací, včetně finančních platforem, nástrojů pro práci na dálku a online veřejných služeb v Evropské unii.
Od útočného modelu k pokusu o obrannou výhodu
Softwarová bezpečnost se po léta pohybovala v Nestabilní rovnováha mezi útočníky a obránciÚtočný povrch moderního prohlížeče je tak velký, že je nemožné jej zcela pokrýt tradičními nástroji, což útočníkům poskytuje asymetrickou výhodu: k dosažení svého cíle jim stačí najít dobře umístěnou zranitelnost.
Mozilla připouští, že její strategie se opírala o kombinaci hloubková obrana, striktní sandboxing a intenzivní používání Rustu minimalizovat určité skupiny chyb. To je doplněno technikami, jako je fuzzing, který vystavuje kód náhodným vstupům, aby vyvolal neočekávané selhání. Tým Firefoxu však sám uznává, že existují oblasti kódu, které je mnohem obtížnější fuzzovatTo ponechává mezery v pokrytí, které mohou zneužít trpěliví útočníci.
Použití umělé inteligence, jako je Claude Mythos, přináší do skládačky nový dílek. Na rozdíl od náhodného testování nebo manuálních kontrol je model schopen zdůvodnit zdrojový kód, identifikovat podezřelé vzorce a navrhnout zneužití které prokazují, zda je chyba skutečně kritická. To snižuje výhradní závislost na vysoce specializovaných týmech, kterých je málo a které nejsou schopny zvládnout množství softwaru, který je třeba zkontrolovat.
Pro Mozillu to otevírá dveře k postupně zmenšit rozdíl mezi chybami, které dokáží stroje odhalit, a chybami, které dokáží lokalizovat lidští experti.Pokud náklady na hledání zranitelností pro obránce drasticky klesnou, část strukturální výhody, kterou měli útočníci, zvyklí věnovat měsíce práce hledání jediné ziskové chyby, zmizí.
Holley připouští, že počáteční šok z tolika chyb najednou byl spíše vnitřním zemětřesením, ale tvrdí, že jakmile počáteční šok odezněl, pocit je pozitivní: pokud se podaří prioritizovat zdroje a úsilí zaměřit na nápravu toho, co umělá inteligence odhalí, Obránci mohou začít hrát se stejnými zbraněmi.To znamená, za předpokladu, že existují týmy schopné absorbovat objem výsledků a převést je do efektivních záplat.
Rizika tak silné bezpečnostní umělé inteligence: jasná dvousečná zbraň
Kromě mírného nadšení Mozilly velká část evropského sektoru kybernetické bezpečnosti situaci pozorně sleduje. potenciál pro zneužití nástrojů, jako je Claude MythosStejný systém, který umožňuje najít chyby ve Firefoxu, by mohl být v nesprávných rukou použit k automatizaci odhalování zranitelností v operačních systémech, „hot walletech“, decentralizovaných aplikacích nebo službách kritické infrastruktury.
Společnost Anthropic si je tohoto rizika vědoma a ve skutečnosti tvrdí, Mythos je dostupný s velmi omezeným přístupem prostřednictvím Projektu Glasswing.Součástí této skupiny jsou velké technologické společnosti jako Apple, Microsoft, Google, Amazon Web Services, Linux Foundation a samotná Mozilla, která model využívá k auditu vlastního softwaru a v některých případech i strategické infrastruktury. Cílem je pečlivě kontrolovat, co se analyzuje a za jakým účelem.
Nedávné zprávy naznačují, že Claude Mythos v kontrolovaných testech dosáhl Identifikujte a zneužívejte zranitelnosti typu zero-day v široce používaných systémechod prohlížečů po operační systémy. Dokonce bylo zdokumentováno, že dokáže zcela autonomně provádět složité kybernetické operace, jako například vícestupňové simulace narušení firemních sítí.
Tyto schopnosti vzbudily zájem nejen u firem, ale i vlády a zpravodajské službyNapříklad ve Spojených státech se objevily zprávy, že Národní bezpečnostní agentura (NSA) dokonce provozovala Mythos na utajovaných sítích, a to navzdory veřejným výhradám k používání takových nástrojů ve válečných nebo sledovacích kontextech.
Pro Evropu, kde debata o Regulace umělé inteligence a ochrana dat Je to obzvláště intenzivní; případy jako Firefox a Mythos nabízejí munici všem stranám: na jedné straně ukazují hodnotu dobře řízené umělé inteligence pro ochranu milionů uživatelů; na druhé straně zdůrazňují potřebu zajistit, aby tyto typy modelů nakonec nepodnítily nové generace rozsáhlých automatizovaných útoků.
Dopad na ekosystém otevřeného softwaru a na evropské uživatele
Firefox zaujímá v prostředí prohlížečů jedinečné postavení. Přestože ztratil podíl na trhu ve prospěch Chromia a jeho derivátů, zůstává... klíčová součást v prostředích, kde se cení svobodný software a soukromí, stejně jako mnoho evropských orgánů veřejné správy, akademických institucí a pokročilých uživatelů systémů GNU/Linux.
V této souvislosti lze objev 271 zranitelností interpretovat dvěma způsoby. Na jedné straně potvrzuje, že i Vysoce auditované open-source projekty mohou skrývat velké množství chyb.Jednoduše proto, že kódová základna je obrovská a manuální kontrola se nedostane všude. Na druhou stranu to ukazuje, že model otevřeného vývoje usnadňuje externím nástrojům, včetně pokročilé umělé inteligence, kontrolu kódu a přispívá ke zlepšení jeho zabezpečení.
Mozilla uznává, že s pomocí Mythosu nyní má dlouhý seznam nevyřízených úkolů k posílení bezpečnosti jejich vlajkové aplikace. Pro koncové uživatele ve Španělsku a zbytku Evropy je doporučení jednoduché: udržujte svůj prohlížeč aktuální aby mohli těžit z těchto oprav. Verze 150 nejen opravuje zjištěné chyby, ale také udržuje tempo vylepšování výkonu, kompatibility a funkcí, jako je sandbox a správa oprávnění místní sítě.
Případ Firefoxu může navíc sloužit jako precedent pro další open source projekty Tyto nástroje se denně používají v podnicích, veřejných orgánech a kritických službách. Široce používané nástroje – webové servery, kryptografické knihovny, vývojové frameworky – by mohly těžit z podobných auditů založených na umělé inteligenci, což je obzvláště důležité v Evropské unii, kde se směrnice o kybernetické bezpečnosti a digitální odolnosti stávají stále přísnějšími.
Problém, jak sama Mozilla přiznává, spočívá v tom, že mnoho z těchto projektů nemá dostatečné lidské nebo ekonomické zdroje k absorpci toku zjištění které dokáže model jako Mythos vygenerovat. A právě zde vstupují do hry jak nadace pro svobodný software, tak veřejné politiky podporující bezpečnost open source, což je otázka, která již byla v Bruselu nastolena po incidentech, jako byl Log4Shell.
Nová fáze ve vztahu mezi lidmi a umělou inteligencí v kybernetické bezpečnosti
Kromě anekdoty o zranitelnosti 271 případ Firefoxu nastoluje i další... změna zaměření ve vztahu mezi lidskými výzkumníky a umělou inteligencí v kybernetické bezpečnosti. Místo toho, aby stavěla jedny proti druhým, Mozilla prosazuje model, v němž pokročilé nástroje rozšiřují možnosti bezpečnostních týmů, aniž by nahradily jejich úsudek nebo zkušenosti.
Organizace popisuje Clauda Mythose jako jakéhosi neúnavný bezpečnostní výzkumníkschopni kontrolovat velké množství kódu, navrhovat exploity a identifikovat rizikové vzorce. Vedle nich zůstávají lidští specialisté zodpovědní za prioritizaci, potvrzování, opravy a rozhodování o tom, které změny budou do finálního produktu zavedeny.
Tato společná vize má přímé důsledky pro evropský trh kybernetické bezpečnosti, kde již působí společnosti a výzkumná centra. Experimentují s umělou inteligencí pro audity kódu, analýzu malwaru nebo detekci narušení.Pokud se výsledky Mozilly podaří zopakovat v jiných projektech, můžeme se dočkat zkrácení reakčních dob na kritické selhání a alespoň částečně snížení tlaku na přetížené bezpečnostní týmy.
Zároveň zkušenosti společností Anthropic a Mozilla jasně ukazují důležitost Přehodnoťte metody používané k měření výkonu modelů umělé inteligence v bezpečnostních úkolech. Společnost Anthropic sama přiznala, že mnoho současných benchmarků již nedosahuje skutečných schopností jejích nejnovějších systémů, což vyžaduje návrh náročnějších a reprezentativnějších testů.
Pokud se Mozilla i Anthropic na něčem shodnou, pak je to prozatím... Neexistuje nic, co by plně nahradilo lidský úsudek v řízení rizik. Umělá inteligence zrychluje a rozšiřuje hledání problémů, ale rozhodnutí o tom, co opravit, jak to udělat a v jakém časovém harmonogramu, stále závisí na týmech lidí, kteří musí vyvážit bezpečnost, dopad na uživatele a dostupné zdroje.
Všechno nasvědčuje tomu, že vydání Firefoxu 150 s opravami pro 271 zranitelností označených Claudem Mythosem bude připomínáno jako okamžik, kdy Kybernetická bezpečnost udělala vážný krok směrem k inteligentní automatizaci.Prohlížeč Mozilla se tak stává případovou studií, jak integrovat vysoce kvalitní umělou inteligenci do životního cyklu vývoje a údržby kritického produktu, aniž by se ztratila ze zřetele související rizika nebo potřeba pečlivého lidského dohledu. Pro uživatele, vývojáře a tvůrce politik ve Španělsku a Evropě je ponaučení jasné: umělá inteligence už není jen futuristickým konceptem, ale nástrojem, který začíná vyvažovat misky vah v bitvě, která se po celá desetiletí vychylovala ve prospěch útočníků.
