Den siste store gjennomgangen av Mozilla Firefox har kommet med en stor overraskelse. Bak kulissene: nettleseren har måttet rette 271 sikkerhetssårbarheter etter at koden har gjennomgått intensiv analyse med Claude Mythos, Anthropics nettsikkerhetsfokuserte kunstig intelligens-modell. Saken er langt fra et enkelt eksperiment, men blir sett på som et potensielt vendepunkt i hvordan store internett-tilkoblede applikasjoner beskyttes.
Mozilla har i årevis skrytt av at Firefox er en av mer reviderte og robuste nettlesere med åpen kildekodeSamarbeidet med Anthropic avdekket imidlertid et betydelig antall latente sårbarheter. Den gode nyheten er at disse ble fikset før de kunne utnyttes; bekymringen stammer fra avdekkingen av i hvilken grad angrepsflaten fortsatt skjulte svakheter som verken manuell testing eller tradisjonelle analyseteknikker hadde oppdaget.
Firefox 150: en oppdatering preget av 271 sårbarheter fikset
Ifølge Bobby Holley, teknologidirektør i Mozilla, er arbeidet en del av en direkte samarbeid med Anthropic Innenfor Project Glasswing, det begrensede programmet som AI-selskapet bruker for å analysere kritisk programvare, fokuserte skanningen på nettleserens kildekode, med særlig vekt på sensitive komponenter som renderingmotoren, sandkassen og prosessisolasjonslagene.
Holley erkjenner at bransjen historisk sett har antatt at Å eliminere utnyttelser fullstendig var et urealistisk mål.Strategien innebar å gjøre angrep så vanskelige som mulig gjennom lag med dybdeforsvar, sandkasseing og sikrere språk som Rust, men alltid akseptere at en viss sårbarhet etter hvert ville dukke opp. Den massive oppdagelsen av Mythos forsterker denne ideen, men viser samtidig at balansen kan begynne å endre seg i forsvarernes favør.
Teknologisjefen påpeker selv at en enkelt feil i kategorien som ble funnet ville ha vært rødt varsel i 2025 for et svært beskyttet målDerav svimmelheten som, ifølge Mozilla, har spredt seg gjennom andre sikkerhetsteam når de har sett det totale antallet sårbarheter som er avdekket samtidig, et scenario som tester reaksjonsevnen til enhver organisasjon.
Fra Opus til Mythos: Et sprang fremover innen AI-revisjon
Samarbeidet mellom Mozilla og Anthropic startet ikke med Mythos. Måneder tidligere hadde stiftelsen testet Claude Opus 4.6Anthropics avanserte modell ble brukt til å gjennomgå en tidligere versjon av nettleseren. Den første testen resulterte i korrigering av 22 sikkerhetssårbarheter i Firefox 148, noen av dem alvorlige, og ble ansett som en bemerkelsesverdig prestasjon allerede da.
Ankomsten av Claude Mythos Preview har imidlertid betydd en et hopp i skala på omtrent tolv ganger i antall oppdagede sårbarheterMens Opus 4.6 identifiserte et par dusin sårbarheter, har Mythos avdekket 271 og har i intern testing generert over 180 fungerende sårbarheter som demonstrerer den faktiske utnyttbarheten av disse feilene. Når det gjelder revisjonsproduktivitet, er dette en betydelig forbedring.
Mozilla understreker at Anthropics modell har oppnådd en ytelse sammenlignbar med eliteforskernesDet viktigste, presiserer de, er ikke at den oppdager helt nye typer sårbarheter, men at den er i stand til systematisk å lokalisere mange av problemene som en ekspert også kunne finne, men på mye kortere tid og i en skala som er praktisk talt uhåndterlig for manuelle team.
Et poeng som organisasjonen insisterer på å fremheve er at Ingen sårbarheter er blitt oppdaget som var utenfor rekkevidden til en god menneskelig forsker.Dette stemmer overens med Mozillas syn, som ikke tror at AI vil lage angrepsmetoder ut av løse luften som fullstendig utfordrer vår nåværende forståelse av sikkerhet; snarere forsterker det arbeidet som allerede kan gjøres, men uten begrensninger av tid, tretthet eller ressurser.
For et komplekst, modulært program som Firefox, designet nettopp slik at mennesker kan resonnere rundt de ulike delene, gir denne tilnærmingen mening. Det som endrer seg er ikke så mye feilenes natur som evnen til å oppdage mye mer på kortere tidDette er nøkkelen til en nettleser som fungerer som en inngangsport til tusenvis av tjenester og applikasjoner, inkludert finansielle plattformer, verktøy for fjernarbeid og offentlige tjenester på nett i EU.
Fra den offensive modellen til forsøket på et defensivt forsprang
I årevis har programvaresikkerhet beveget seg inn i en En usikker balanse mellom angripere og forsvarereAngrepsflaten til en moderne nettleser er så stor at det er umulig å dekke den fullstendig med tradisjonelle verktøy, noe som har gitt angripere en asymmetrisk fordel: de trenger bare å finne en velplassert sårbarhet for å oppnå målet sitt.
Mozilla innrømmer at strategien deres har vært basert på en kombinasjon av forsvar i dybden, streng sandkasseing og mye bruk av Rust for å minimere visse feilfamilier. Dette suppleres av teknikker som fuzzing, som utsetter koden for tilfeldige input for å tvinge frem uventede feil. Firefox-teamet erkjenner imidlertid selv at det finnes områder av koden som er mye vanskeligere å fuzzeDette etterlater hull i dekningen som kan utnyttes av pasientangripere.
Ved å bruke en AI som Claude Mythos, introduseres en ny brikke i puslespillet. I motsetning til tilfeldig testing eller manuelle gjennomganger, er modellen i stand til å resonnere om kildekoden, identifisere mistenkelige mønstre og foreslå utnyttelser som viser om en feil virkelig er kritisk. Dette reduserer den eksklusive avhengigheten av høyspesialiserte team, som er knappe og ikke i stand til å håndtere mengden programvare som må gjennomgås.
For Mozilla åpner dette døren for å gradvis tette gapet mellom feilene som maskiner kan oppdage og de som menneskelige eksperter kan finne.Hvis kostnaden ved å finne sårbarheter faller drastisk for forsvarere, forsvinner deler av den strukturelle fordelen angripere hadde, som var vant til å bruke måneder med arbeid på å jakte på én lønnsom feil.
Holley innrømmer at det første sjokket av å se så mange feil samtidig var intet mindre enn et indre jordskjelv, men hevder at når det første sjokket har lagt seg, er følelsen positiv: hvis ressurser kan prioriteres og innsatsen fokuseres på å korrigere det AI-en avslører, Forsvarerne kan begynne å spille med de samme våpnene.Det vil si, forutsatt at det finnes team som er i stand til å absorbere volumet av resultater og omsette dem til effektive oppdateringer.
Risikoer ved en så kraftig sikkerhets-AI: et klart tveegget sverd
Ved siden av Mozillas moderate entusiasme følger store deler av den europeiske cybersikkerhetssektoren nøye med på utviklingen. potensial for misbruk av verktøy som Claude MythosDet samme systemet som gjør det mulig å finne feil i Firefox, kan i gale hender brukes til å automatisere oppdagelsen av sårbarheter i operativsystemer, «hot wallets», desentraliserte applikasjoner eller kritiske infrastrukturtjenester.
Anthropic er klar over denne risikoen og hevder faktisk Mythos er tilgjengelig med svært begrenset tilgang gjennom Project GlasswingStore teknologiselskaper som Apple, Microsoft, Google, Amazon Web Services, Linux Foundation og Mozilla selv er en del av denne gruppen, som bruker modellen til å revidere sin egen programvare og i noen tilfeller strategisk infrastruktur. Ideen er å kontrollere nøye hva som analyseres og for hvilke formål.
Nyere rapporter indikerer at Claude Mythos i kontrollerte tester har nådd Identifiser og utnytt nulldagssårbarheter i mye brukte systemerfra nettlesere til operativsystemer. Det er til og med dokumentert at den kan utføre komplekse cyberoperasjoner ganske autonomt, for eksempel flertrinns inntrengingssimuleringer på bedriftsnettverk.
Disse mulighetene har vekket interesse ikke bare fra bedrifter, men også fra myndigheter og etterretningstjenesterI USA har det for eksempel blitt rapportert at National Security Agency (NSA) til og med har kjørt Mythos på klassifiserte nettverk, til tross for offentlige reservasjoner mot bruken av slike verktøy i krigs- eller overvåkingssammenhenger.
For Europa, hvor debatten om KI-regulering og databeskyttelse Det er spesielt intenst; saker som Firefox og Mythos tilbyr ammunisjon til alle sider: på den ene siden viser de verdien av velstyrt AI for å beskytte millioner av brukere; på den andre siden fremhever de behovet for å sikre at denne typen modeller ikke ender opp med å gi næring til nye generasjoner av storskala automatiserte angrep.
Påvirkning på økosystemet for åpen programvare og på europeiske brukere
Firefox har en unik posisjon i nettleserlandskapet. Selv om den har mistet markedsandeler til Chromium og dets derivater, er den fortsatt en en nøkkelkomponent i miljøer der fri programvare og personvern verdsettes, i likhet med mange europeiske offentlige administrasjoner, akademiske institusjoner og avanserte brukere av GNU/Linux-systemer.
I den sammenhengen kan oppdagelsen av 271 sårbarheter tolkes på to måter. På den ene siden bekrefter det at selv Strengt reviderte åpen kildekode-prosjekter kan skjule et stort antall feil.Rett og slett fordi kodebasen er enorm og manuell gjennomgang ikke kan nå overalt. På den annen side viser det at den åpne utviklingsmodellen gjør det enklere for eksterne verktøy, inkludert avansert AI, å inspisere koden og bidra til å forbedre sikkerheten.
Mozilla erkjenner at de nå, med hjelp fra Mythos, har en lang liste med ventende oppgaver for å styrke sikkerheten av flaggskipapplikasjonen deres. For sluttbrukere i Spania og resten av Europa er anbefalingen enkel: holde nettleseren oppdatert å dra nytte av disse oppdateringene. Versjon 150 fikser ikke bare de oppdagede feilene, men opprettholder også tempoet med forbedringer i ytelse, kompatibilitet og funksjoner som sandkasse og administrasjon av lokale nettverkstillatelser.
Videre kan Firefox-saken tjene som en presedens for andre åpen kildekode-prosjekter Disse verktøyene brukes daglig i bedrifter, offentlige etater og kritiske tjenester. Bredt distribuerte verktøy – webservere, kryptografiske biblioteker, utviklingsrammeverk – kan dra nytte av lignende AI-drevne revisjoner, noe som er spesielt relevant i EU, der direktiver om cybersikkerhet og digital robusthet blir stadig strengere.
Utfordringen, som Mozilla selv innrømmer, er at mange av disse prosjektene ikke har tilstrekkelige menneskelige eller økonomiske ressurser til å absorbere strømmen av funn som en modell som Mythos kan generere. Det er her både fri programvare-stiftelser og offentlig politikk som støtter åpen kildekode-sikkerhet kommer inn i bildet, et problem som allerede har blitt reist i Brussel etter hendelser som Log4Shell.
En ny fase i forholdet mellom mennesker og AI innen cybersikkerhet
Utover anekdoten om de 271 sårbarhetene, reiser Firefox-saken en fokusendring i forholdet mellom menneskelige forskere og AI innen nettsikkerhet. I stedet for å sette den ene opp mot den andre, tar Mozilla til orde for en modell der avanserte verktøy utvider sikkerhetsteamenes muligheter uten å erstatte deres dømmekraft eller erfaring.
Organisasjonen beskriver Claude Mythos som en slags utrettelig sikkerhetsforskeri stand til å gjennomgå store mengder kode, foreslå utnyttelser og identifisere risikomønstre. Ved siden av dem er menneskelige spesialister fortsatt ansvarlige for å prioritere, bekrefte, korrigere og bestemme hvilke endringer som skal introduseres i sluttproduktet.
Denne samarbeidsvisjonen har direkte implikasjoner for det europeiske markedet for cybersikkerhet, der selskaper og forskningssentre allerede opererer som De eksperimenterer med AI for koderevisjoner, analyse av skadelig programvare eller inntrengingsdeteksjon.Hvis Mozillas resultater replikeres i andre prosjekter, kan vi se at reaksjonstiden på kritiske feil blir forkortet og presset på overbelastede sikkerhetsteam blir redusert, i hvert fall delvis.
Samtidig gjør erfaringene til Anthropic og Mozilla det tydelig hvor viktig det er å Revurder metodene som brukes for å måle ytelsen til AI-modeller i sikkerhetsoppgaver. Anthropic har selv innrømmet at mange nåværende referansepunkter allerede har kommet til kort når det gjelder å vurdere de reelle egenskapene til deres nyeste systemer, noe som nødvendiggjør utforming av mer krevende og representative tester.
Hvis det er én ting både Mozilla og Anthropic ser ut til å være enige om, så er det at foreløpig, Det finnes ingen fullstendig erstatning for menneskelig dømmekraft i risikostyring. AI akselererer og utvider søket etter problemer, men avgjørelsen om hva som skal fikses, hvordan det skal gjøres og innenfor hvilken tidslinje avhenger fortsatt av team av mennesker som må balansere sikkerhet, brukerpåvirkning og tilgjengelige ressurser.
Alt tyder på at utgivelsen av Firefox 150 med oppdateringer for 271 sårbarheter flagget av Claude Mythos vil bli husket som øyeblikket da Cybersikkerhet tok et alvorlig skritt mot intelligent automatisering.Mozillas nettleser blir dermed en casestudie om hvordan man integrerer kunstig intelligens på høyt nivå i utviklings- og vedlikeholdssyklusen til et kritisk produkt, uten å miste de tilhørende risikoene eller behovet for tett menneskelig tilsyn av syne. For brukere, utviklere og beslutningstakere i Spania og Europa er lærdommen klar: kunstig intelligens er ikke lenger bare et futuristisk konsept, men et verktøy som begynner å balansere vektskålene i en kamp som har vært vippet i favør av angripere i flere tiår.
