Kajian utama terkini tentang Mozilla Firefox telah tiba dengan kejutan besar. Di sebalik tabir: pelayar web terpaksa menampal 271 kelemahan keselamatan selepas kodnya menjalani analisis intensif dengan Claude Mythos, model kecerdasan buatan Anthropic yang berfokus pada keselamatan siber. Jauh daripada menjadi eksperimen mudah, kes ini dianggap sebagai titik perubahan yang berpotensi dalam bagaimana aplikasi yang disambungkan ke internet yang besar dilindungi.
Mozilla telah bermegah selama bertahun-tahun bahawa Firefox adalah salah satu pelayar sumber terbuka yang lebih diaudit dan mantapWalau bagaimanapun, kerjasama dengan Anthropic mendedahkan sejumlah besar kelemahan terpendam. Berita baiknya ialah kelemahan ini telah dibaiki sebelum ia dapat dieksploitasi; kebimbangan itu berpunca daripada penemuan sejauh mana permukaan serangan masih menyembunyikan kelemahan yang tidak dapat dikesan oleh ujian manual mahupun teknik analisis tradisional.
Firefox 150: kemas kini yang ditandai dengan 271 kelemahan telah diperbaiki
Menurut Bobby Holley, Ketua Pegawai Teknologi Mozilla, kerja tersebut adalah sebahagian daripada kerjasama langsung dengan Anthropic Dalam Projek Glasswing, program terhad yang membolehkan syarikat AI itu menganalisis perisian kritikal, imbasan tertumpu pada kod sumber pelayar, memberi perhatian khusus kepada komponen sensitif seperti enjin rendering, kotak pasir dan lapisan pengasingan proses.
Holley mengakui bahawa, dari segi sejarah, industri telah menganggap bahawa Menghapuskan sepenuhnya eksploitasi adalah matlamat yang tidak realistik.Strategi tersebut melibatkan menjadikan serangan sesukar mungkin melalui lapisan pertahanan yang mendalam, sandboxing dan bahasa yang lebih selamat seperti Rust, tetapi sentiasa menerima bahawa beberapa kelemahan akhirnya akan muncul. Penemuan besar-besaran Mythos mengukuhkan idea ini, tetapi pada masa yang sama menunjukkan bahawa keseimbangan mungkin mula beralih memihak kepada pihak pertahanan.
CTO sendiri menunjukkan bahawa satu kegagalan kategori yang ditemui adalah amaran merah pada tahun 2025 untuk sasaran yang sangat dilindungiOleh itu, vertigo yang, menurut Mozilla, telah merebak ke seluruh pasukan keselamatan lain apabila mereka melihat jumlah keseluruhan kerentanan yang ditemui sekaligus, satu senario yang menguji kapasiti tindak balas mana-mana organisasi.
Dari Opus ke Mythos: Lonjakan ke hadapan dalam pengauditan AI
Kerjasama antara Mozilla dan Anthropic tidak bermula dengan Mythos. Beberapa bulan sebelumnya, yayasan itu telah menguji Claude Opus 4.6Model lanjutan Anthropic telah digunakan untuk menyemak versi pelayar yang lebih awal. Ujian pertama itu menghasilkan pembetulan 22 kelemahan keselamatan dalam Firefox 148, sebahagiannya teruk, dan dianggap sebagai pencapaian yang luar biasa walaupun pada masa itu.
Walau bagaimanapun, ketibaan Claude Mythos Preview bermakna lonjakan skala kira-kira dua belas kali ganda dalam bilangan kerentanan yang dikesanWalaupun Opus 4.6 mengenal pasti beberapa dozen kelemahan, Mythos telah menemui 271 dan, dalam ujian dalaman, telah menghasilkan lebih 180 eksploitasi kerja yang menunjukkan keboleheksploitasian sebenar ralat ini. Dari segi produktiviti audit, ini merupakan peningkatan yang ketara.
Mozilla menekankan bahawa model Anthropic telah mencapai prestasi yang setanding dengan penyelidik manusia elitPerkara penting, jelas mereka, bukanlah ia menemui jenis kerentanan yang baharu sepenuhnya, tetapi ia dapat mengesan secara sistematik banyak masalah yang mungkin ditemui oleh pakar, tetapi dalam masa yang lebih singkat dan pada skala yang boleh diuruskan oleh pasukan manual.
Satu perkara yang ingin ditekankan oleh organisasi ini ialah Tiada kelemahan yang dikesan di luar jangkauan penyelidik manusia yang baik.Ini selaras dengan pandangan Mozilla, yang tidak percaya bahawa AI akan mencipta kaedah serangan secara tiba-tiba yang mencabar sepenuhnya pemahaman kita tentang keselamatan semasa; sebaliknya, ia menguatkan kerja yang sudah boleh dilakukan, tetapi tanpa batasan masa, keletihan atau sumber.
Untuk aplikasi modular yang kompleks seperti Firefox, yang direka bentuk dengan tepat supaya manusia boleh membuat pertimbangan tentang bahagian-bahagiannya yang berbeza, pendekatan ini masuk akal. Apa yang berubah bukanlah sifat ralat tetapi keupayaan untuk menemui lebih banyak lagi dalam masa yang lebih singkatIni adalah kunci untuk pelayar yang berfungsi sebagai pintu masuk kepada beribu-ribu perkhidmatan dan aplikasi, termasuk platform kewangan, alat kerja jarak jauh dan perkhidmatan awam dalam talian di Kesatuan Eropah.
Daripada model serangan kepada percubaan untuk kelebihan pertahanan
Selama bertahun-tahun, keselamatan perisian telah berubah secara Keseimbangan yang tidak menentu antara penyerang dan pemain pertahananPermukaan serangan pelayar moden begitu besar sehingga mustahil untuk menutupnya sepenuhnya dengan alat tradisional, yang telah memberikan penyerang kelebihan asimetri: mereka hanya perlu mencari kerentanan yang diletakkan dengan baik untuk mencapai matlamat mereka.
Mozilla mengakui bahawa strateginya bergantung pada gabungan pertahanan yang mendalam, sandboxing yang ketat, dan penggunaan Rust yang banyak untuk meminimumkan keluarga ralat tertentu. Ini dilengkapi dengan teknik seperti fuzzing, yang tertakluk kepada input rawak kod untuk memaksa kegagalan yang tidak dijangka. Walau bagaimanapun, pasukan Firefox sendiri mengakui bahawa terdapat kawasan kod yang lebih sukar untuk dikaburkanIni meninggalkan jurang dalam liputan yang boleh dieksploitasi oleh penyerang pesakit.
Menggunakan AI seperti Claude Mythos memperkenalkan bahagian baharu kepada teka-teki itu. Tidak seperti ujian rawak atau ulasan manual, model ini mampu penaakulan tentang kod sumber, mengenal pasti corak yang mencurigakan dan mencadangkan eksploitasi yang menunjukkan sama ada sesuatu kerosakan itu benar-benar kritikal. Ini mengurangkan pergantungan eksklusif pada pasukan yang sangat khusus, yang terhad dan tidak dapat mengendalikan jumlah perisian yang perlu disemak.
Bagi Mozilla, ini membuka pintu kepada untuk secara beransur-ansur merapatkan jurang antara ralat yang boleh dikesan oleh mesin dan ralat yang boleh dikesan oleh pakar manusia.Jika kos mencari kelemahan menurun secara drastik bagi pihak pembela, sebahagian daripada kelebihan struktur yang dimiliki oleh penyerang, yang terbiasa mendedikasikan kerja berbulan-bulan untuk memburu satu kelemahan yang menguntungkan, akan hilang.
Holley mengakui bahawa kejutan awal melihat begitu banyak ralat sekaligus adalah seperti gempa bumi dalaman, tetapi menegaskan bahawa, sebaik sahaja kejutan awal reda, perasaan itu positif: jika sumber boleh diutamakan dan usaha difokuskan untuk membetulkan apa yang didedahkan oleh AI, Pemain pertahanan boleh mula bermain dengan senjata yang sama.Iaitu, dengan syarat terdapat pasukan yang mampu menyerap jumlah keputusan dan menterjemahkannya menjadi tampalan yang berkesan.
Risiko AI keselamatan yang begitu berkuasa: pedang bermata dua yang jelas
Di samping semangat sederhana Mozilla, sebahagian besar sektor keselamatan siber Eropah sedang memerhatikan dengan teliti potensi penyalahgunaan alat seperti Claude MythosSistem yang sama yang membolehkan pencarian kelemahan dalam Firefox boleh digunakan, di tangan yang salah, untuk mengautomasikan penemuan kelemahan dalam sistem pengendalian, dompet panas, aplikasi terdesentralisasi atau perkhidmatan infrastruktur kritikal.
Anthropic menyedari risiko itu dan, sebenarnya, mengekalkan Mythos tersedia di bawah akses yang sangat terhad melalui Project GlasswingSyarikat teknologi utama seperti Apple, Microsoft, Google, Amazon Web Services, Linux Foundation dan Mozilla sendiri adalah sebahagian daripada kumpulan ini, yang menggunakan model ini untuk mengaudit perisiannya sendiri dan, dalam beberapa kes, infrastruktur strategik. Ideanya adalah untuk mengawal rapi apa yang dianalisis dan untuk tujuan apa.
Laporan terkini menunjukkan bahawa, dalam ujian terkawal, Claude Mythos telah mencapai Kenal pasti dan eksploitasi kelemahan hari sifar dalam sistem yang digunakan secara meluasdaripada pelayar web hinggalah sistem pengendalian. Malah telah didokumenkan bahawa ia boleh melaksanakan operasi siber yang kompleks secara autonomi, seperti simulasi pencerobohan berbilang peringkat pada rangkaian korporat.
Keupayaan ini telah mencetuskan minat bukan sahaja daripada syarikat-syarikat, tetapi juga daripada kerajaan dan agensi perisikanDi Amerika Syarikat, sebagai contoh, telah dilaporkan bahawa Agensi Keselamatan Negara telah pun menjalankan Mythos di rangkaian sulit, meskipun terdapat keraguan awam tentang penggunaan alat sedemikian dalam konteks peperangan atau pengawasan.
Bagi Eropah, di mana perdebatan mengenai Peraturan AI dan perlindungan data Ia amat sengit; kes seperti Firefox dan Mythos menawarkan peluru kepada semua pihak: di satu pihak, ia menunjukkan nilai AI yang ditadbir dengan baik untuk melindungi berjuta-juta pengguna; di pihak yang lain, ia menonjolkan keperluan untuk memastikan bahawa model jenis ini tidak akhirnya mencetuskan serangan automatik berskala besar generasi baharu.
Kesan terhadap ekosistem perisian terbuka dan pengguna Eropah
Firefox menduduki kedudukan unik dalam landskap pelayar. Walaupun ia telah kehilangan bahagian pasaran kepada Chromium dan derivatifnya, ia kekal sebagai komponen utama dalam persekitaran di mana perisian percuma dan privasi dihargai, seperti banyak pentadbiran awam Eropah, institusi akademik dan pengguna lanjutan sistem GNU/Linux.
Dalam konteks itu, penemuan 271 kelemahan boleh ditafsirkan dalam dua cara. Di satu pihak, ia mengesahkan bahawa walaupun Projek sumber terbuka yang diaudit dengan tinggi boleh menyembunyikan sejumlah besar pepijat.Hanya kerana pangkalan kodnya sangat besar dan semakan manual tidak dapat dicapai di mana-mana. Sebaliknya, ia menunjukkan bahawa model pembangunan terbuka memudahkan alat luaran, termasuk AI canggih, untuk memeriksa kod dan menyumbang kepada peningkatan keselamatannya.
Mozilla mengakui bahawa, dengan bantuan Mythos, ia kini mempunyai senarai panjang tugasan yang belum selesai untuk mengukuhkan keselamatan aplikasi utama mereka. Bagi pengguna akhir di Sepanyol dan seluruh Eropah, cadangannya mudah: pastikan pelayar dikemas kini untuk mendapat manfaat daripada tampalan ini. Versi 150 bukan sahaja membetulkan pepijat yang dikesan, tetapi juga mengekalkan kadar penambahbaikan dalam prestasi, keserasian dan ciri-ciri seperti sandboxing dan pengurusan kebenaran rangkaian tempatan.
Tambahan pula, kes Firefox boleh dijadikan contoh untuk projek sumber terbuka yang lain Alatan ini digunakan setiap hari dalam perniagaan, badan awam dan perkhidmatan kritikal. Alatan yang digunakan secara meluas—pelayan web, perpustakaan kriptografi, rangka kerja pembangunan—boleh mendapat manfaat daripada audit berkuasa AI yang serupa, yang amat relevan di Kesatuan Eropah, di mana arahan mengenai keselamatan siber dan daya tahan digital menjadi semakin ketat.
Cabarannya, seperti yang diakui oleh Mozilla sendiri, ialah banyak projek ini tidak mempunyai sumber manusia atau ekonomi yang mencukupi untuk menyerap aliran penemuan yang boleh dijana oleh model seperti Mythos. Di situlah kedua-dua asas perisian percuma dan dasar awam yang menyokong keselamatan sumber terbuka memainkan peranan, satu isu yang telah dibangkitkan di Brussels susulan insiden seperti Log4Shell.
Fasa baharu dalam hubungan antara manusia dan AI dalam keselamatan siber
Selain anekdot tentang 271 kelemahan, apa yang dibangkitkan oleh kes Firefox ialah perubahan fokus dalam hubungan antara penyelidik manusia dan AI dalam keselamatan siber. Daripada mengadu dombakan antara satu sama lain, Mozilla menyokong model di mana alatan canggih mengembangkan keupayaan pasukan keselamatan, tanpa menggantikan pertimbangan atau pengalaman mereka.
Organisasi itu menggambarkan Claude Mythos sebagai sejenis penyelidik keselamatan yang tidak kenal erti penat lelahmampu menyemak sejumlah besar kod, mencadangkan eksploitasi dan mengenal pasti corak risiko. Di samping itu, pakar manusia tetap bertanggungjawab untuk mengutamakan, mengesahkan, membetulkan dan memutuskan perubahan mana yang diperkenalkan ke dalam produk akhir.
Visi kolaboratif ini mempunyai implikasi langsung untuk pasaran keselamatan siber Eropah, di mana syarikat dan pusat penyelidikan sudah mengendalikannya Mereka sedang bereksperimen dengan AI untuk audit kod, analisis perisian hasad atau pengesanan pencerobohan.Jika keputusan Mozilla direplikasi dalam projek lain, kita mungkin melihat masa tindak balas terhadap kegagalan kritikal dipendekkan dan tekanan ke atas pasukan keselamatan yang terbeban berkurangan, sekurang-kurangnya sebahagiannya.
Pada masa yang sama, pengalaman Anthropic dan Mozilla menjelaskan kepentingan Nilaikan semula kaedah yang digunakan untuk mengukur prestasi model AI dalam tugasan keselamatan. Anthropic sendiri telah mengakui bahawa banyak penanda aras semasa telah gagal dalam menilai keupayaan sebenar sistem terkininya, yang memerlukan reka bentuk ujian yang lebih mencabar dan representatif.
Jika ada satu perkara yang Mozilla dan Anthropic nampaknya persetujui, buat masa ini, Tiada pengganti sepenuhnya untuk penilaian manusia dalam pengurusan risiko. AI mempercepat dan memperluas pencarian masalah, tetapi keputusan tentang apa yang perlu diperbaiki, cara melakukannya, dan garis masa yang mana masih bergantung pada pasukan orang yang perlu mengimbangi keselamatan, impak pengguna, dan sumber yang tersedia.
Semuanya menunjukkan pelancaran Firefox 150 dengan tampalan untuk 271 kelemahan yang ditandai oleh Claude Mythos dikenang sebagai detik apabila Keselamatan siber telah mengambil langkah serius ke arah automasi pintar.Oleh itu, pelayar Mozilla menjadi kajian kes tentang cara mengintegrasikan AI peringkat tinggi ke dalam kitaran hayat pembangunan dan penyelenggaraan produk kritikal, tanpa melupakan risiko yang berkaitan atau keperluan pengawasan manusia yang rapi. Bagi pengguna, pembangun dan pembuat dasar di Sepanyol dan Eropah, pengajarannya jelas: kecerdasan buatan bukan lagi sekadar konsep futuristik, tetapi alat yang mula mengimbangi semula skala dalam pertempuran yang telah condong memihak kepada penyerang selama beberapa dekad.
