Samarbeid mellom Mozilla og antropisk har avdekket et uvanlig antall kritiske sårbarheter i FirefoxDette har endret samtalen om nettlesersikkerhet dramatisk. Det som inntil nylig virket som science fiction – kunstig intelligens i stand til å gjennomgå enorme mengder kode og finne feil som har gått uoppdaget i årevis – begynner å bli en fungerende realitet.
På bare noen få uker med intern testing, Mythos-modellen av Anthropic Den var i stand til å oppdage hundrevis av feil som hadde gått ubemerket hen av ingeniører, tradisjonelle revisjonsverktøy og uklare systemer. Blant dem var det feil som hadde vært begravd i mer enn 10 eller til og med 20 år, noen i komponenter så følsomme som nettleserens sandkasse.
Et kvantitativt og kvalitativt sprang innen feildeteksjon
I følge dokumentasjonen som Mozilla har delt, Ankomsten av Mythos markerte en økning på mer enn ti ganger i antall oppdagede sårbarheter Sammenlignet med Anthropics tidligere modeller, hadde verktøy som Claude Opus 4.6 i tidligere utviklingssykluser funnet noen få dusin kritiske feil; med Mythos steg antallet til 271 bekreftede sårbarheter i en enkelt runde med Firefox-analyse.
Denne endringen gjenspeiles også i nettleserens vedlikeholdstall: Bare i april 2026 lanserte Firefox 423 feilrettinger., sammenlignet med de 31 som ble registrert i samme måned i 2025. Ikke alle disse korreksjonene kommer direkte fra Mythos, men Mozilla knytter mye av økningen til den nye måten å jobbe med kunstig intelligens på.
Organisasjonens ingeniører har insistert på at Dette er ikke sårbarheter som er «umulige» for en menneskelig ekspert.men snarere et skalaproblem. En forsker på toppnivå kunne ha funnet mange av dem, men ikke med den hastigheten eller det volumet som en modell som går gjennom millioner av kodelinjer og systematisk foreslår testtilfeller tillater.
I denne sammenhengen beskriver tekniske eksperter som Bobby Holley, CTO i Mozilla, og Brian Grinstead, en anerkjent ingeniør, opplevelsen med kraftfulle fraser: Dynamikken i insektjakt har endret seg på få månederTakket være mer kapable modeller og en finjustering av hvordan de integreres i interne sikkerhetsarbeidsflyter.
For de som følger utviklingen av cybersikkerhet i Europa, har dette skiftet åpenbare implikasjoner: Åpen kildekode-prosjekter eller europeiske selskaper med begrensede ressurser kan stole på lignende teknikker å heve beskyttelsesnivået sitt til standarder som for noen år siden var forbeholdt store teknologiselskaper.
Kritiske sårbarheter: fra sandkasse til HTML-feil
Et av aspektene som har fanget samfunnets oppmerksomhet mest er at Mythos klarte å identifisere alvorlige feil i Firefox-sandkassenMekanismen fungerer som et «isolasjonslag» for å begrense skade når en nettleserprosess kompromitteres. Det er ikke akkurat enkelt å manipulere denne delen av systemet.
Mozilla forklarte at for å avdekke denne typen svakheter, AI-en måtte gjennom en flertrinnsprosessProsessen innebærer å lage en nettleseroppdatering, bruke denne endringen på en instrumentert versjon, og deretter forsøke å utnytte den mest beskyttede delen av programvaren ved å bruke den modifiserte koden. Denne sekvensen krever en kombinasjon av kreativitet, presisjon og grundig validering.
Vanskeligheten måles også i økonomiske termer. Mozillas belønningsprogram tilbyr opptil 20 000 dollar Den høyeste premien i bug bounty-ordningen deres tildeles de som klarer å oppdage en sårbarhet i Firefox-sandkassen. Likevel erkjenner teamet at volumet av sandkasseproblemer Mythos avdekker langt overstiger det som historisk sett har blitt oppnådd av menneskelige forskere.
Utover sandkassen, AI har også avdekket spesielt langvarige feil i andre kritiske områder av nettleseren.Blant eksemplene som Mozilla selv har offentliggjort, er en feil på omtrent 15 år i tolkningen av et HTML-element, knyttet til håndteringen av elementet. <legend>, og en annen feil i XSLT-motoren med rundt to tiår med kode, som kan forårsake farlige minneproblemer under svært spesifikke omstendigheter.
Denne typen sårbarheter, som kombinerer høy teknisk kompleksitet med en potensiell innvirkning på millioner av brukere, De er spesielt følsomme for markeder som Spania og Europader Firefox har en betydelig brukerbase i hjemme-, utdannings- og offentlige administrasjonsmiljøer.
271 sårbarheter mot 22: Mythos endrer problemets omfang
Dataene som har kommet frem fra samarbeidet mellom Mozilla og Anthropic gir mulighet for en tydelig sammenligning: Med en tidligere generasjon av antropiske modeller ble 22 kritiske sårbarheter identifisert. i én evalueringssyklus; med Mythos steg tallet til 271 registrerte og bekreftede feil.
Fra det settet, De aller fleste tilsvarte sårbarheter med høy alvorlighetsgradmed et mindre antall kategorisert som moderat eller lav alvorlighetsgrad. I praksis betyr dette at mange av disse feilene kan utnyttes gjennom tilsynelatende uskyldig brukeratferd, for eksempel å besøke et spesiallaget nettsted.
Mozilla forklarer at Sårbarhetene varierte fra feil i HTML-parsing til problemer i sandkassemekanismer.inkludert kappløpsbetingelser knyttet til kommunikasjon mellom prosesser. Noen feil tillot for eksempel manipulering av referansetellere i IndexedDB for å prøve å omgå sandkassebegrensningene.
Organisasjonen erkjenner at Mange av disse feilene ville ha forblitt inaktive i årevis uten hjelp fra AI.I et økosystem der nettlesere er inngangsporten til banktjenester, administrative prosedyrer eller forretningsverktøy over hele EU, er det viktig å redusere dette eksponeringsvinduet for å begrense risiko.
Gitt dette scenariet påpeker stemmer fra cybersikkerhetssektoren at Mythos' massive analysekapasitet representerer en strukturell endring.Det som tidligere krevde uker eller måneder med manuell revisjon av spesialister, kan nå komprimeres til dager med automatisert analyse støttet av avanserte modeller.
En hybridprosess: AI finner feil, mennesker korrigerer dem
Til tross for fremgangen, Mozilla har gjort det klart at de ikke delegerer automatisk korrigering av sårbarheter til kunstig intelligens.Mythos er ansvarlig for å spore koden, identifisere mistenkelige mønstre og foreslå oppdateringer, men den siste delen av arbeidet faller fortsatt på ingeniører av kjøtt og blod.
I praksis er prosedyren som følger: AI-en genererer en detaljert rapport om hver feil, med tekniske beskrivelser og reproduserbare testtilfeller.Derfra skriver en menneskelig utvikler den endelige oppdateringen, og en annen ingeniør gjennomgår den. Denne dobbeltsjekkingsprosessen har som mål å redusere risikoen for å introdusere nye feil når man fikser gamle.
Firefox-utviklere erkjenner at slik det er nå, De har ikke funnet en pålitelig måte å automatisere utrullingen av patcher generert utelukkende av AI.De foretrekker å bruke koden foreslått av Mythos som referanse, som et slags utkast som fremskynder arbeidet, men ikke som en lukket løsning klar til å nå sluttbrukeren.
Dette skillet bidrar til å skille to debatter som ofte blandes sammen. På den ene siden, AI viser seg å være svært effektiv til å utvide «radaren» til sikkerhetsteamfor å redusere falske positiver og prioritere funn. På den annen side er dens evne til å automatisk produsere kode av industriell kvalitet fortsatt begrenset og krever intensiv overvåking.
I organisatoriske termer, Dette peker mot en umiddelbar fremtid der sikkerhet er avhengig av en blandet modellKunstig intelligens håndterer det tunge arbeidet med utforskning og hypotesegenerering, mens menneskelige spesialister tar de kritiske beslutningene om hva som skal fikses, hvordan og i hvilken rekkefølge.
Slik fungerer sikkerhetsprosessen med Mythos i Firefox
For å komme til dette punktet, overleverte ikke Mozilla bare koden sin til en modell og ventet på resultater. Organisasjonen satte opp en revisjonspipeline som integrerer Mythos med sin eksisterende infrastruktur for automatisert testing og fuzzing., og fordeler arbeidsmengden på tvers av flere maskiner og testmiljøer.
Prosessen er avhengig av Firefox sin modulære arkitektur: Denne komponentbaserte strukturen gjør det enklere for AI å analysere veldefinerte kodeblokker.Kjør spesifikke testtilfeller og returner rapporter som deretter kan valideres raskere av menneskelige team.
Mythos fungerer som en grundig revisor som Den gjennomgår millioner av kodelinjer, genererer ondsinnede eller ekstreme inndata og observerer hvordan nettleseren reagerer.Når den oppdager unormal oppførsel – en overflyt, en minnekorrupsjon eller en kappløpstilstand – dokumenterer den det og foreslår en handlingsplan.
Parallelt, AI filtrerer selv ut en stor del av de falske positivene som historisk sett overveldet sikkerhetsteamTidligere genererte mange verktøy så mange unyttige varsler at tiden som ble brukt på å gjennomgå rapporter langt oppveide fordelene. Med dagens modeller gjøres noe av denne screeningen automatisk.
Resultatet har vært en betydelig kollektiv innsats: Mer enn hundre personer fra Mozilla har deltatt i å rette opp de oppdagede sårbarhetene., med oppdateringer distribuert på tvers av ulike nettleserversjoner (inkludert mellomliggende utgaver som 149.0.2, 150.0.1 eller 150.0.2) for å tette hull så snart som mulig.
Defensiv fordel og risiko for dobbelt bruk i cybersikkerhet
Fremveksten av verktøy som Mythos reiser et grunnleggende spørsmål: Vil disse evnene tippe vektskålen i favør av de som forsvarer systemer eller de som prøver å bryte dem ned? Verken Mozilla eller Anthropic tilbyr et definitivt svar, men de peker på noen viktige elementer.
På den ene siden opprettholder de ansvarlige, som Dario Amodei, administrerende direktør i Anthropic, et relativt optimistisk syn. Argumentet deres er at det er et begrenset antall feil som kan oppdages. i en gitt kode, og at hvis de nye verktøyene administreres ansvarlig, kan de tillate å "rydde opp" en stor del av de sårbarhetene som har akkumulert seg gjennom årene.
På den annen side advarer eksperter og sikkerhetsansvarlige hos Mozilla om at De samme metodene som brukes til å finne og fikse sårbarheter kan replikeres for støtende formål.Som ondsinnede utvidelseskampanjerSelv om Anthropic har holdt Mythos på et program med begrenset tilgang og anvender retningslinjer for ansvarlig offentliggjøring, er det ingen garanti for at ondsinnede aktører ikke eksperimenterer med lignende teknikker.
I praksis betyr dette det Kappløpet mellom angripere og forsvarere går inn i en ny faseHvis en organisasjon kan bruke avansert AI til å oppdage hundrevis av feil i løpet av få dager, kan en gruppe med kriminelle motiver prøve å bruke lignende modeller for å finne utnyttbare feil i applikasjoner, finansielle tjenester eller kritisk infrastruktur.
For det europeiske næringslivet – inkludert oppstartsbedrifter, teknologibedrifter med små og mellomstore selskaper og etablerte programvareselskaper – Budskapet er klart: det er ikke nok å utvikle «rimelig sikker kode».Konkurransefordelen vil i økende grad avhenge av å ha raskere deteksjons- og oppdateringsprosesser enn konkurrentene (og potensielle angriperes).
Innvirkning på selskaper og utviklere i Spania og Europa
I markeder som Spania eller EU som helhet, hvor Forskriftene for cybersikkerhet blir strengere. Med standarder som NIS2 og den kommende Cyber ​​Resilience Act, fungerer Firefox- og Mythos-saken nærmest som en forhåndsvisning av hva som forventes av sektoren.
Mange europeiske selskaper, spesielt mellomstore, De opererer med redusert sikkerhetsutstyr som sliter med å gjennomgå store kodebaser med det detaljnivået som kreves av moderne revisjoner. Mozillas erfaring tyder på at utnyttelse av spesialiserte AI-modeller kan bli et nøkkelelement for å oppfylle regulatoriske standarder.
For oppstartsbedrifter og utviklere som bygger digitale produkter i Spania, Å integrere AI-drevne revisjoner i programvarens livssyklus begynner å bli sett mindre på som et alternativ og mer som en nødvendighet.Det handler ikke bare om å forhindre hendelser, men om å demonstrere for kunder, investorer og partnere at det finnes robuste prosesser for å oppdage og korrigere sårbarheter.
Det skjer blant annet fordi Tenk nytt om produktarkitektur for å legge til rette for automatisert analyseIsoler kritiske komponenter (autentisering, håndtering av sensitive data, eksponerte API-er) og klargjør kontinuerlige integrasjonsrørledninger der hver kodeendring kan gjennomgå en AI-assistert sikkerhetsgjennomgang.
Det tvinger oss også til å tenke på risikoen ved dobbeltbruk av disse verktøyeneEnhver organisasjon som håndterer spesielt sensitive data må ikke bare vurdere hvordan den drar nytte av AI, men også hvordan den beskytter sine egne modeller, pipelines og funn mot uautorisert tilgang.
Det som har skjedd med Mythos og Firefox viser at Kunstig intelligens er ikke lenger et marginalt element i programvaresikkerhetmen en sentral brikke som omdefinerer både måten feil oppdages på og balansen mellom de som beskytter systemer og de som prøver å kompromittere dem.
