Mozilla: Mythos de la Anthropic a descoperit 271 de vulnerabilități zero-day în Firefox 150

Conform arstechnica.com, Mozilla a anunțat că modelul Mythos de la Anthropic a identificat 271 de vulnerabilități de securitate în versiunea Firefox 150. CTO-ul Mozilla, Bobby Holley, afirmă că acest nou model de inteligență artificială este „la fel de capabil” ca cei mai buni cercetători de securitate din lume. Totodată, se discută dacă această avansare heraldică în tehnologiile AI va provoca o eră a hacking-ului accelerat.

👉 Limitarea accesului la modelul Mythos Preview de la Anthropic

La începutul acestei luni, Anthropic a spus că modelul său Mythos Preview a fost atât de eficient în identificarea vulnerabilităților de securitate, încât compania a decis să limiteze lansarea sa inițială la „un grup restrâns de parteneri industriali critici”. De atunci, dezbaterea a crescut cu privire la faptul dacă modelul va prezenta o eră a hacking-ului asistat de inteligența artificială sau dacă este doar o exagerare a capabilităților AI.

Mozilla a adăugat informații importante la această dezbatere marți, subliniind într-un post pe blog că accesul timpuriu la Mythos Preview a ajutat-o să pre-identifice 271 de vulnerabilități de securitate în lansarea de săptămâna aceasta a Firefox 150. Rezultatele au fost semnificative, iar Holley s-a arătat optimist, afirmând că, în bătălia incessantă dintre atacatorii cibernetici și apărătorii cibernetici, „apărătorii au finalmente o șansă de a câștiga, decisiv”. Holley nu a detaliat severitatea celor sute de vulnerabilități pe care Mythos le-a detectat analizând sursa nepublicată a celei mai recente versiuni a Firefox.

👉 Comparativ cu alte modele și implicațiile pentru apărarea cibernetică

Comparativ, a menționat că modelul Opus 4.6 al Anthropic a descoperit doar 22 de erori sensibile la securitate în timpul analizei Firefox 148, realizate luna trecută. Vulnerabilitățile identificate de Mythos ar fi putut fi descoperite și prin tehnici automatizate de „fuzzing” sau de către un „cercetător de securitate de elită” care face analize detaliate ale codului sursă complex al browserului. Folosind Mythos, au eliminat necesitatea de a „concentra multe luni de efort uman costisitor pentru a găsi o singură eroare” în multe cazuri, a adăugat Holley.

Prin identificarea erorilor atât de eficient, Holley susține că instrumentele AI precum Mythos inclină echilibrul în favoarea apărătorilor cibernetici, care beneficiază atunci când descoperirea vulnerabilităților devine mai accesibilă pentru ambele părți. „Calculatoarele erau complet incapabile să facă acest lucru acum câteva luni, iar acum excelează la asta”, a afirmat Holley. „Avem mulți ani de experiență în analiza muncii celor mai buni cercetători de securitate din lume, iar Mythos Preview este la fel de capabil.”

Într-un interviu cu Wired, Holley a declarat că, de acum înainte, acest tip de analiză a vulnerabilităților asistată de AI va deveni o necesitate pentru „orice software”, deoarece „fiecare bucată de software are o mulțime de erori ascunse care pot fi acum descoperite”. De asemenea, Holley a menționat că, deși este posibil ca viitoarele modele, mai avansate decât Mythos, să poată găsi erori pe care modelele actuale le ratează, el este încrezător că „cel puțin pe partea Firefox, având un ușor avantaj de început, am învățat să ne adaptăm.”

Parcurgerea procesului de apărare asistat de AI ar putea fi deosebit de importantă pentru proiectele open-source, care stau la baza multor aspecte ale internetului modern. Acest lucru se datorează atât faptului că bazele lor de cod public sunt mai ușor de explorat pentru sistemele AI în căutarea vulnerabilităților, cât și pentru că multe dintre aceste proiecte depind de o întreținere insuficientă din partea voluntarilor pentru securitatea lor. Într-un eseu publicat săptămâna trecută în New York Times, CTO-ul Mozilla, Raffi Krikorian, a argumentat că dificultățile umane atât în găsirea erorilor, cât și în scrierea software-ului complex au creat un fel de echilibru în cercetarea amenințărilor cibernetice pe care Mythos ar putea să-l schimbe radical. „Programatorul care a dedicat 20 de ani din viața sa pentru a întreține un cod care funcționează în produse folosite de miliarde de oameni? El nu are încă acces la Mythos. Ar trebui să aibă”, a scris Krikorian.