Ранее в этом месяце компания Anthropic заявила, что её новая модель Mythos Preview настолько эффективна в поиске уязвимостей кибербезопасности, что её первоначальный доступ был ограничен узкой группой стратегических партнёров. Это заявление вызвало споры о том, знаменует ли инструмент эру взрывного роста хакерских атак с помощью ИИ или же это просто маркетинговый ход для продвижения очередного шага в развитии технологий.
Mozilla добавила важные данные в эту дискуссию во вторник, сообщив в блоге, что ранний доступ к Mythos Preview помог предварительно выявить 271 потенциальную уязвимость безопасности в готовящемся релизе Firefox 150. Результаты оказались настолько впечатляющими, что технический директор Firefox Бобби Холли заявил, что в вечной битве между кибератакующими и защитниками у последних «наконец-то появился шанс на решительную победу».
«Мы прошли переломный момент»
Холли не раскрыл деталей о серьёзности сотен уязвимостей, которые, как сообщается, Mythos обнаружил, просто анализируя исходный код ещё не выпущенной версии Firefox. Однако для сравнения он отметил, что предыдущая модель Anthropic Opus 4.6 нашла лишь 22 критические ошибки при анализе Firefox 148 в прошлом месяце.
Столь эффективное выявление багов, по словам Холли, смещает баланс в кибербезопасности в сторону защитников, которые выигрывают, когда поиск уязвимостей становится дешевле для обеих сторон. «Компьютеры были совершенно не способны на это несколько месяцев назад, а теперь они в этом преуспевают», — пишет он. — У нас есть многолетний опыт анализа работы лучших исследователей безопасности в мире, и Mythos Preview абсолютно не уступает им».
В интервью Wired Холли заявил, что отныне подобный ИИ-анализ на уязвимости — это то, с чем «придётся [иметь дело] каждому программному обеспечению, потому что в каждом из них под поверхностью скрыто множество ошибок, которые теперь можно обнаружить». И хотя возможно, что будущие модели, более продвинутые, чем Mythos, смогут находить ошибки, пропущенные текущими инструментами, Холли выразил уверенность, что «по крайней мере, со стороны Firefox, получив фору, мы прошли переломный момент».
Важность для открытого ПО
Прохождение через подобную ИИ-защиту особенно важно для проектов с открытым исходным кодом, которые лежат в основе большей части современного интернета. Это связано как с тем, что их публичные базы кода легче исследуются ИИ-системами на наличие уязвимостей, так и с тем, что безопасность многих таких проектов зависит от волонтёрской поддержки, которой часто недостаточно.
В эссе для The New York Times на прошлой неделе технический директор Mozilla Раффи Крикорян утверждал, что человеческая сложность как поиска ошибок, так и написания сложного программного обеспечения создала некий баланс в исследованиях кибератак, который Mythos может кардинально изменить. «Программист, отдавший 20 лет жизни на поддержку [открытого] кода, который работает в продуктах, используемых миллиардами людей? У него пока нет доступа к Mythos. А должен бы», — написал Крикорян.
