Kada je Anthropic predstavio svoj novi model Mythos u travnju, također je upozorio sve koji razvijaju softver. Model je bio toliko snažan u otkrivanju ranjivosti softvera, tvrdi laboratorij, da je otkrio tisuće kritičnih grešaka koje je potrebno ispraviti prije nego što se mogu javno objaviti.
Sada, istraživači sigurnosti za Mozilla Firefox pružaju bliži pogled na to kako je taj proces izgledao u praksi i što moć Mythosa znači za sigurnost softvera općenito.
U objavi objavljenoj u četvrtak, Mozilla je izjavila da je Mythos otkrio brojne visokoprioritetne greške, uključujući neke koje su ležale neaktivne u kodu više od deset godina.
To je značajno poboljšanje u odnosu na ono što su alati za sigurnost temeljen na AI mogli prije šest mjeseci. Do sada su alati za pronalaženje grešaka temeljeni na AI imali ozbiljne nedostatke, često preplavljujući sigurnosne timove niskokvalitetnim izvještajima i lažnim pozitivnim rezultatima. No, istraživači Mozille kažu da je najnovija generacija alata napravila značajan napredak, posebno sada kada agentni sustavi mogu procijeniti svoj rad i filtrirati loše rezultate.
„Teško je precijeniti koliko se ova dinamika promijenila za nas u samo nekoliko mjeseci“, napisali su istraživači. „Prvo, modeli su postali mnogo sposobniji. Drugo, drastično smo poboljšali naše tehnike za iskorištavanje tih modela.“
Rezultati su zapanjujući: U travnju 2026. Firefox je ispravio 423 greške, u usporedbi s samo 31 godinu ranije. Istraživači su također objavili detalje o 12 grešaka, koje se kreću od neobičnih ranjivosti u sandboxu, do greške starije od 15 godina u načinu na koji preglednik analizira HTML elemente.
„Ove stvari su zapravo iznenada postale vrlo dobre“, rekao je Brian Grinstead, istaknuti inženjer u Mozilli, za TechCrunch. „Vidimo to na našem internom skeniranju, vidimo to na vanjskim izvještajima o greškama i vidimo to u raznim signalima širom industrije.“
Osim toga, sustav je pomogao u otkrivanju ranjivosti u Firefoxovom „sandbox“ sustavu, što je osobito impresivno s obzirom na to koliko je složen napad koji ga iskorištava. Za pronalaženje ranjivosti u sandboxu, model mora napisati kompromitiranu zakrpu za preglednik, a zatim napasti najsigurniji dio softvera s novim implementiranim kodom. Pronalaženje i demonstriranje greške je delikatni višestepeni proces koji zahtijeva i kreativnost i pažnju na detalje.
Možda najvažnije, tim Firefox još uvijek ne koristi AI za ispravljanje grešaka, unatoč dobro dokumentiranom napretku u alatima za kodiranje temeljenim na AI. Tim traži od AI da kodira zakrpe za svaku grešku, ali rezultantni kod obično se ne može izravno implementirati, već služi kao model za ljudskog inženjera.
„Za greške o kojima govorimo u ovoj objavi, svaka je od njih jedan inženjer koji piše zakrpu i jedan inženjer koji je pregledava“, kaže Grinstead. „Nismo otkrili da to može biti automatizirano.“
