Ang pinakabagong pangunahing pagsusuri ng Dumating ang Mozilla Firefox na may malaking sorpresa. Sa likod ng mga eksena: kinailangang ayusin ng browser ang 271 na kahinaan sa seguridad matapos sumailalim sa masusing pagsusuri ang code nito gamit ang Claude Mythos, ang modelo ng artificial intelligence na nakatuon sa cybersecurity ng Anthropic. Malayo sa pagiging isang simpleng eksperimento, ang kaso ay itinuturing na isang potensyal na punto ng pagbabago sa kung paano pinoprotektahan ang malalaking application na konektado sa internet.
Matagal nang ipinagmamalaki ng Mozilla na ang Firefox ay isa sa mga mas na-audit at mas matatag na open-source na mga browserGayunpaman, ang pakikipagtulungan sa Anthropic ay nagsiwalat ng isang malaking bilang ng mga nakatagong kahinaan. Ang magandang balita ay naayos ang mga ito bago pa man magamit; ang pag-aalala ay nagmumula sa pagtuklas kung gaano pa rin nakatago ang mga kahinaan sa ibabaw ng pag-atake na hindi nakita ng manu-manong pagsubok o ng mga tradisyonal na pamamaraan ng pagsusuri.
Firefox 150: isang update na minarkahan ng 271 kahinaan ang naayos na
Ayon kay Bobby Holley, CTO ng Mozilla, ang gawain ay bahagi ng isang direktang pakikipagtulungan sa Anthropic Sa loob ng Project Glasswing, ang pinaghihigpitang programa kung saan pinapayagan ng kumpanya ng AI ang mga kasosyo sa teknolohiya na suriin ang mga kritikal na software, ang pag-scan ay nakatuon sa source code ng browser, na binibigyang pansin ang mga sensitibong bahagi tulad ng rendering engine, sandbox, at mga layer ng process isolation.
Kinikilala ni Holley na, ayon sa kasaysayan, ipinapalagay ng industriya na Ang ganap na pag-aalis ng mga pagsasamantala ay isang hindi makatotohanang layunin.Ang estratehiya ay kinabibilangan ng pagpapahirap sa mga pag-atake hangga't maaari sa pamamagitan ng malalimang mga patong ng depensa, sandboxing, at mas ligtas na mga wika tulad ng Rust, ngunit palaging tinatanggap na may lilitaw na kahinaan kalaunan. Ang malawakang pagtuklas sa Mythos ay nagpapatibay sa ideyang ito, ngunit kasabay nito ay nagpapakita na ang balanse ay maaaring nagsisimula nang magbago pabor sa mga tagapagtanggol.
Itinuturo mismo ng CTO na ang isang pagkabigo sa kategoryang natagpuan ay magiging pulang alerto sa 2025 para sa isang lubos na protektadong targetKaya naman ang pagkahilo na, ayon sa Mozilla, ay kumalat na rin sa iba pang mga security team nang makita nila ang kabuuang bilang ng mga kahinaan na natuklasan nang sabay-sabay, isang senaryo na sumusubok sa kapasidad ng anumang organisasyon sa pagtugon.
Mula Opus hanggang Mythos: Isang pagsulong sa pag-awdit ng AI
Ang kolaborasyon sa pagitan ng Mozilla at Anthropic ay hindi nagsimula sa Mythos. Ilang buwan bago nito, sinubukan ng pundasyon Claude Opus 4.6Ginamit ang advanced na modelo ng Anthropic upang suriin ang isang naunang bersyon ng browser. Ang unang pagsubok na iyon ay nagresulta sa pagwawasto ng 22 kahinaan sa seguridad sa Firefox 148, ang ilan sa mga ito ay malala, at itinuturing na isang kahanga-hangang tagumpay kahit noon pa man.
Gayunpaman, ang pagdating ni Claude Mythos Preview ay nangangahulugan ng isang isang pagtalon sa sukat na halos labindalawang beses sa bilang ng mga kahinaan na natukoyBagama't natukoy ng Opus 4.6 ang ilang dosenang kahinaan, natuklasan ng Mythos ang 271 at, sa internal testing, nakabuo ito ng mahigit 180 working exploit na nagpapakita ng aktwal na kakayahang magamit ng mga error na ito. Sa usapin ng produktibidad sa pag-audit, ito ay isang malaking pagpapabuti.
Binibigyang-diin ng Mozilla na nakamit ng modelo ng Anthropic ang isang pagganap na maihahambing sa mga piling mananaliksik na taoAng mahalaga, nilinaw nila, ay hindi ang pagtuklas nito ng mga ganap na bagong uri ng kahinaan, kundi ang sistematikong pagtukoy nito sa maraming problemang maaaring matuklasan din ng isang eksperto, ngunit sa mas maikling panahon at sa isang saklaw na halos hindi kayang pamahalaan para sa mga manu-manong pangkat.
Isang puntong iginiit ng organisasyon na Walang nakitang mga kahinaan na hindi kayang abutin ng isang mahusay na mananaliksik na tao.Naaayon ito sa pananaw ng Mozilla, na hindi naniniwala na ang AI ay lilikha ng mga paraan ng pag-atake nang basta-basta na lamang hahamon sa ating kasalukuyang pag-unawa sa seguridad; sa halip, pinapalakas nito ang gawaing magagawa na, ngunit walang limitasyon sa oras, pagod, o mga mapagkukunan.
Para sa isang kumplikado at modular na aplikasyon tulad ng Firefox, na dinisenyo nang tumpak upang ang mga tao ay makapagpaliwanag tungkol sa iba't ibang bahagi nito, ang pamamaraang ito ay may katuturan. Ang nagbabago ay hindi gaanong ang uri ng mga error kundi ang kakayahang matuklasan ang higit pa sa mas maikling panahonMahalaga ito para sa isang browser na nagsisilbing daanan patungo sa libu-libong serbisyo at application, kabilang ang mga platform sa pananalapi, mga tool sa remote work, at mga online na pampublikong serbisyo sa European Union.
Mula sa opensibong modelo hanggang sa pagtatangkang makamit ang bentahe sa depensa
Sa loob ng maraming taon, ang seguridad ng software ay lumipat sa isang Isang hindi mapayapang balanse sa pagitan ng mga umaatake at tagapagtanggolNapakalaki ng attack surface ng isang modernong browser kaya imposibleng matakpan ito nang lubusan gamit ang mga tradisyunal na tool, na nagbigay sa mga attacker ng asymmetric advantage: kailangan lang nilang makahanap ng isang mahusay na pagkakalagay na kahinaan upang makamit ang kanilang layunin.
Inamin ng Mozilla na ang estratehiya nito ay umasa sa kombinasyon ng malalim na depensa, mahigpit na sandboxing, at matinding paggamit ng Rust upang mabawasan ang ilang partikular na pamilya ng mga error. Kinukumpleto ito ng mga pamamaraan tulad ng fuzzing, na nagsasailalim sa code sa mga random na input upang pilitin ang mga hindi inaasahang pagkabigo. Gayunpaman, kinikilala mismo ng pangkat ng Firefox na mayroong mga bahagi ng code na mas mahirap malaboNag-iiwan ito ng mga kakulangan sa saklaw na maaaring samantalahin ng mga umaatakeng pasyente.
Ang paggamit ng AI tulad ni Claude Mythos ay nagpapakilala ng isang bagong piraso sa palaisipang iyon. Hindi tulad ng random na pagsubok o manu-manong pagsusuri, ang modelo ay may kakayahang mangatwiran tungkol sa source code, tukuyin ang mga kahina-hinalang pattern, at magmungkahi ng mga exploit na nagpapakita kung ang isang depekto ay tunay na kritikal. Binabawasan nito ang eksklusibong pag-asa sa mga pangkat na may mataas na espesyalisasyon, na kakaunti at hindi kayang pangasiwaan ang dami ng software na kailangang suriin.
Para sa Mozilla, nagbubukas ito ng pinto para sa upang unti-unting takpan ang agwat sa pagitan ng mga pagkakamaling natutukoy ng mga makina at ng mga kayang matukoy ng mga ekspertong tao.Kung ang gastos sa paghahanap ng mga kahinaan ay lubhang bababa para sa mga tagapagtanggol, ang bahagi ng bentahe sa istruktura na mayroon ang mga umaatake, na sanay na maglaan ng ilang buwan ng trabaho sa paghahanap ng isang kumikitang depekto, ay mawawala.
Inamin ni Holley na ang unang pagkabigla ng pagkakita ng napakaraming pagkakamali nang sabay-sabay ay maituturing na isang panloob na lindol, ngunit pinaninindigan niya na, kapag humupa na ang unang pagkabigla, positibo ang pakiramdam: kung ang mga mapagkukunan ay maaaring unahin at ang mga pagsisikap ay nakatuon sa pagwawasto ng ipinapakita ng AI, Maaaring magsimulang maglaro ang mga tagapagtanggol gamit ang parehong mga armas.Ibig sabihin, basta't may mga pangkat na kayang sumipsip ng dami ng mga resulta at isalin ang mga ito sa mga epektibong patch.
Mga panganib ng gayong makapangyarihang seguridad na AI: isang malinaw na tabak na may dalawang talim
Kasama ng katamtamang sigasig ng Mozilla, ang malaking bahagi ng sektor ng cybersecurity sa Europa ay mahigpit na nagbabantay sa potensyal para sa pang-aabuso ng mga kagamitan tulad ng Claude MythosAng parehong sistemang nagpapahintulot sa paghahanap ng mga depekto sa Firefox ay maaaring gamitin, sa maling mga kamay, upang i-automate ang pagtuklas ng mga kahinaan sa mga operating system, hot wallet, desentralisadong aplikasyon, o mga kritikal na serbisyo sa imprastraktura.
Batid ng Anthropic ang panganib na iyon at, sa katunayan, pinapanatili Ang Mythos ay makukuha sa ilalim ng limitadong pag-access sa pamamagitan ng Project GlasswingAng mga pangunahing kumpanya ng teknolohiya tulad ng Apple, Microsoft, Google, Amazon Web Services, ang Linux Foundation, at ang Mozilla mismo ay bahagi ng grupong ito, na gumagamit ng modelo upang i-audit ang sarili nitong software at, sa ilang mga kaso, ang estratehikong imprastraktura. Ang ideya ay upang masusing kontrolin kung ano ang sinusuri at para sa anong mga layunin.
Ipinapahiwatig ng mga kamakailang ulat na, sa mga kontroladong pagsubok, naabot na ni Claude Mythos ang Tukuyin at gamitin ang mga kahinaan sa zero-day sa mga sistemang malawakang ginagamitmula sa mga browser hanggang sa mga operating system. Naidokumento pa nga na kaya nitong magsagawa ng mga kumplikadong operasyon sa cyber nang awtomatiko, tulad ng mga multi-stage intrusion simulation sa mga corporate network.
Ang mga kakayahang ito ay pumukaw ng interes hindi lamang mula sa mga kumpanya, kundi pati na rin mula sa mga pamahalaan at mga ahensya ng paniktikHalimbawa, sa Estados Unidos, naiulat na pinatakbo pa nga ng National Security Agency ang Mythos sa mga classified network, sa kabila ng mga pampublikong pag-aalinlangan tungkol sa paggamit ng mga naturang kagamitan sa mga konteksto ng digmaan o pagmamatyag.
Para sa Europa, kung saan ang debate sa Regulasyon ng AI at proteksyon ng datos Ito ay lalong matindi; ang mga kaso tulad ng Firefox at Mythos ay nag-aalok ng mga bala sa lahat ng panig: sa isang banda, ipinapakita nila ang kahalagahan ng mahusay na pinamamahalaang AI upang protektahan ang milyun-milyong mga gumagamit; sa kabilang banda, itinatampok nila ang pangangailangang tiyakin na ang mga ganitong uri ng modelo ay hindi magdudulot ng mga bagong henerasyon ng malawakang awtomatikong pag-atake.
Epekto sa open software ecosystem at sa mga gumagamit ng Europa
Ang Firefox ay may natatanging posisyon sa larangan ng browser. Bagama't nawalan na ito ng bahagi sa merkado kumpara sa Chromium at mga derivatives nito, nananatili itong isang isang mahalagang bahagi sa mga kapaligiran kung saan pinahahalagahan ang libreng software at privacy, gaya ng maraming pampublikong administrasyon sa Europa, mga institusyong akademiko at mga bihasang gumagamit ng mga sistemang GNU/Linux.
Sa kontekstong iyan, ang pagtuklas ng 271 na kahinaan ay maaaring bigyang-kahulugan sa dalawang paraan. Sa isang banda, kinukumpirma nito na kahit Ang mga proyektong open-source na lubos na na-audit ay maaaring magtago ng maraming bug.Dahil lamang sa napakalaki ng codebase at hindi kayang abutin ng manu-manong pagsusuri ang lahat. Sa kabilang banda, ipinapakita nito na ginagawang mas madali ng open development model para sa mga external tool, kabilang ang advanced AI, na siyasatin ang code at makatulong sa pagpapabuti ng seguridad nito.
Kinikilala ng Mozilla na, sa tulong ng Mythos, mayroon na itong mahabang listahan ng mga nakabinbing gawain upang palakasin ang seguridad ng kanilang pangunahing aplikasyon. Para sa mga end user sa Espanya at sa iba pang bahagi ng Europa, simple lang ang rekomendasyon: panatilihing updated ang iyong browser upang makinabang mula sa mga patch na ito. Hindi lamang inaayos ng Bersyon 150 ang mga nakitang bug, kundi pinapanatili rin nito ang bilis ng mga pagpapabuti sa pagganap, compatibility, at mga tampok tulad ng sandboxing at pamamahala ng pahintulot ng lokal na network.
Bukod pa rito, ang kaso ng Firefox ay maaaring magsilbing isang halimbawa para sa iba pang mga proyektong open source Ang mga tool na ito ay ginagamit araw-araw sa mga negosyo, pampublikong katawan, at mga kritikal na serbisyo. Ang mga tool na malawakang ginagamit—mga web server, mga cryptographic library, mga development framework—ay maaaring makinabang mula sa mga katulad na AI-powered audit, na lalong mahalaga sa European Union, kung saan ang mga direktiba sa cybersecurity at digital resilience ay nagiging lalong mahigpit.
Ang hamon, gaya ng inaamin mismo ng Mozilla, ay marami sa mga proyektong ito ay walang sapat na yamang-tao o pang-ekonomiya upang masipsip ang daloy ng mga natuklasan na maaaring malikha ng isang modelo tulad ng Mythos. Dito pumapasok ang parehong pundasyon ng libreng software at mga pampublikong patakaran na sumusuporta sa open source security, isang isyu na naitaas na sa Brussels kasunod ng mga insidente tulad ng Log4Shell.
Isang bagong yugto sa ugnayan sa pagitan ng mga tao at AI sa cybersecurity
Higit pa sa anekdota ng 271 na kahinaan, ang itinataas ng kaso ng Firefox ay isang pagbabago ng pokus sa ugnayan sa pagitan ng mga mananaliksik na tao at AI sa cybersecurity. Sa halip na paglalabanin ang isa't isa, itinataguyod ng Mozilla ang isang modelo kung saan pinalalawak ng mga advanced na tool ang mga kakayahan ng mga security team, nang hindi pinapalitan ang kanilang pagpapasya o karanasan.
Inilalarawan ng organisasyon si Claude Mythos bilang isang uri ng walang kapagurang mananaliksik sa seguridadmay kakayahang suriin ang malalaking halaga ng code, magmungkahi ng mga exploit, at tukuyin ang mga pattern ng panganib. Kasama nila, ang mga espesyalistang tao ay nananatiling responsable sa pagbibigay-priyoridad, pagkumpirma, pagwawasto, at pagpapasya kung aling mga pagbabago ang ipapasok sa huling produkto.
Ang pananaw na ito para sa pakikipagtulungan ay may direktang implikasyon para sa merkado ng cybersecurity sa Europa, kung saan ang mga kumpanya at sentro ng pananaliksik ay nagpapatakbo na nito. Nag-eeksperimento sila sa AI para sa mga code audit, pagsusuri ng malware, o pagtukoy ng panghihimasok.Kung ang mga resulta ng Mozilla ay mauulit sa ibang mga proyekto, maaaring paikliin ang oras ng pagtugon sa mga kritikal na pagkabigo at mabawasan, kahit man lang sa isang bahagi, ang presyon sa mga nalulula na security team.
Kasabay nito, nililinaw ng karanasan ng Anthropic at Mozilla ang kahalagahan ng Muling suriin ang mga pamamaraang ginamit upang sukatin ang pagganap ng mga modelo ng AI sa mga gawaing pangseguridad. Inamin mismo ng Anthropic na maraming kasalukuyang benchmark ang nabigo na sa pagtatasa ng mga tunay na kakayahan ng mga pinakabagong sistema nito, na nangangailangan ng disenyo ng mas mapanghamon at representatibong mga pagsubok.
Kung may isang bagay na tila pinagkakasunduan ng Mozilla at Anthropic, iyon ay, sa ngayon, Walang ganap na kapalit sa paghatol ng tao sa pamamahala ng peligro. Pinapabilis at pinalalawak ng AI ang paghahanap ng mga problema, ngunit ang desisyon kung ano ang aayusin, paano ito gagawin, at kung anong timeline ang nakasalalay pa rin sa mga pangkat ng mga tao na kailangang balansehin ang seguridad, epekto ng gumagamit, at mga magagamit na mapagkukunan.
Ang lahat ay tumutukoy sa paglabas ng Firefox 150 na may mga patch para sa 271 na kahinaan na minarkahan ni Claude Mythos na naaalala bilang ang sandali kung kailan Ang cybersecurity ay gumawa ng isang seryosong hakbang tungo sa matalinong automation.Kaya naman, ang browser ng Mozilla ay nagiging isang case study kung paano isama ang high-level na AI sa lifecycle ng pag-develop at pagpapanatili ng isang kritikal na produkto, nang hindi nakakaligtaan ang mga kaugnay na panganib o ang pangangailangan para sa malapit na pangangasiwa ng tao. Para sa mga user, developer, at tagagawa ng patakaran sa Spain at Europe, malinaw ang aral: ang artificial intelligence ay hindi na lamang isang futuristic na konsepto, kundi isang tool na nagsisimulang magbalanse muli ng mga iskala sa isang labanan na ikiling pabor sa mga umaatake sa loob ng mga dekada.
