Naujausia svarbi apžvalga „Mozilla Firefox“ pasirodė su dideliu netikėtumu. Užkulisiuose: naršyklė turėjo pataisyti 271 saugumo spragą po to, kai jos kodas buvo intensyviai analizuojamas naudojant „Claude Mythos“ – „Anthropic“ kibernetinio saugumo dirbtinio intelekto modelį. Šis atvejis toli gražu nėra paprastas eksperimentas, o laikomas potencialiu lūžio tašku, kaip apsaugomos didelės prie interneto prijungtos programos.
„Mozilla“ jau daugelį metų giriasi, kad „Firefox“ yra viena iš labiau audituotos ir patikimesnės atvirojo kodo naršyklėsTačiau bendradarbiaujant su „Anthropic“ buvo atskleistas nemažai paslėptų pažeidžiamumų. Geros žinios yra tai, kad jie buvo ištaisyti dar prieš tai, kai juos buvo galima išnaudoti; susirūpinimą kelia tai, kad paaiškėjo, kiek atakos paviršiuje vis dar slepiasi trūkumai, kurių neaptiko nei rankinis testavimas, nei tradiciniai analizės metodai.
„Firefox 150“: atnaujinimas, kuriame ištaisytos 271 spragos
Pasak Bobby Holley, „Mozilla“ technikos direktoriaus, šis darbas yra dalis... tiesioginis bendradarbiavimas su „Anthropic“ „Project Glasswing“ – ribotos prieigos programoje, per kurią dirbtinio intelekto bendrovė leidžia technologijų partneriams analizuoti svarbią programinę įrangą – skenavimas buvo sutelktas į naršyklės šaltinio kodą, ypatingą dėmesį skiriant jautriems komponentams, tokiems kaip atvaizdavimo variklis, smėlio dėžė ir procesų izoliacijos sluoksniai.
Holley pripažįsta, kad istoriškai pramonė manė, jog Visiškas išnaudojimų pašalinimas buvo nerealus tikslas.Strategija apėmė kuo sunkesnes atakas, pasitelkiant gylio gynybos sluoksnius, „smėlio dėžės“ principu veikiančias programas ir saugesnes kalbas, tokias kaip „Rust“, tačiau visada susitaikant su tuo, kad galiausiai atsiras tam tikras pažeidžiamumas. Masinis „Mythos“ atradimas sustiprina šią idėją, tačiau tuo pačiu metu rodo, kad pusiausvyra gali pradėti keistis gynėjų naudai.
Pats CTO nurodo, kad vienas rastos kategorijos gedimas būtų buvęs raudonas pavojaus signalas 2025 m. dėl itin saugomo taikinioTodėl, anot „Mozilla“, kitose saugumo komandose kilo svaigulys, kai jos pamatė visą vienu metu aptiktų pažeidžiamumų skaičių – scenarijus, kuris išbando bet kurios organizacijos reagavimo pajėgumus.
Nuo Opus iki Mythos: šuolis į priekį dirbtinio intelekto audito srityje
„Mozilla“ ir „Anthropic“ bendradarbiavimas neprasidėjo nuo „Mythos“. Prieš kelis mėnesius fondas buvo išbandęs Claude'o Opus 4.6Pažangus „Anthropic“ modelis buvo panaudotas ankstesnės naršyklės versijos peržiūrai. Pirmojo bandymo metu buvo ištaisytos 22 „Firefox 148“ saugumo spragos, kai kurios iš jų – rimtos, ir jau tada tai buvo laikoma dideliu pasiekimu.
Tačiau „Claude Mythos Preview“ pasirodymas reiškė a aptiktų pažeidžiamumų skaičiaus šuolis maždaug dvylika kartųNors „Opus 4.6“ nustatė kelias dešimtis pažeidžiamumų, „Mythos“ aptiko 271 ir vidinių testų metu sugeneravo daugiau nei 180 veikiančių pažeidžiamumų, rodančių, kad šias klaidas galima išnaudoti realiai. Kalbant apie audito produktyvumą, tai yra reikšmingas pagerėjimas.
„Mozilla“ pabrėžia, kad „Anthropic“ modelis pasiekė rezultatai, panašūs į elitinių žmonių tyrėjųSvarbiausia, anot jų, yra ne tai, kad sistema aptinka visiškai naujus pažeidžiamumų tipus, o tai, kad ji gali sistemingai rasti daugelį problemų, kurias galėtų rasti ir ekspertas, tačiau per daug trumpesnį laiką ir tokiu mastu, kuris praktiškai neįveikiamas rankinio darbo komandoms.
Vienas dalykas, kurį organizacija primygtinai pabrėžia, yra tai, kad Nebuvo aptikta jokių pažeidžiamumų, kurių negalėtų pasiekti geras žmogus-tyrėjas.Tai atitinka „Mozilla“ požiūrį, kuris netiki, kad dirbtinis intelektas iš nieko sukurs atakų metodus, kurie visiškai mestų iššūkį mūsų dabartiniam saugumo supratimui; veikiau tai sustiprina darbą, kurį jau galima atlikti, tačiau be laiko, nuovargio ar išteklių apribojimų.
Sudėtingoje, modulinėje programoje, tokioje kaip „Firefox“, sukurtoje būtent taip, kad žmonės galėtų samprotauti apie skirtingas jos dalis, šis metodas yra prasmingas. Keičiasi ne tiek klaidų pobūdis, kiek jų sudėtis. galimybė atrasti daug daugiau per trumpesnį laikąTai labai svarbu naršyklei, kuri veikia kaip vartai į tūkstančius paslaugų ir programų, įskaitant finansines platformas, nuotolinio darbo įrankius ir internetines viešąsias paslaugas Europos Sąjungoje.
Nuo puolimo modelio iki bandymo įgyti gynybinį pranašumą
Jau daugelį metų programinės įrangos saugumas vystėsi Neįveikiama pusiausvyra tarp puolėjų ir gynėjųŠiuolaikinės naršyklės atakų paviršius yra toks didelis, kad neįmanoma jo visiškai padengti tradiciniais įrankiais, todėl užpuolikai įgyja asimetrinį pranašumą: jiems tereikia rasti tinkamai parinktą pažeidžiamumą, kad pasiektų savo tikslą.
„Mozilla“ pripažįsta, kad jos strategija rėmėsi deriniu gylios gynybos, griežtos smėlio dėžės ir intensyvaus „Rust“ naudojimo siekiant sumažinti tam tikras klaidų grupes. Tai papildo tokios technikos kaip „fuzzing“, kai kodas veikiamas atsitiktinių įvesties duomenų, kad būtų priverstos sukelti netikėtų klaidų. Tačiau pati „Firefox“ komanda pripažįsta, kad yra kodo sritys, kurias daug sunkiau sulietiDėl to atsiranda spragų aprėptyje, kuriomis gali pasinaudoti kantrūs užpuolikai.
Naudojant dirbtinį intelektą, pvz., Claude'ą Mythosą, į šią dėlionę įvedama nauja detalė. Skirtingai nuo atsitiktinių bandymų ar rankinių peržiūrų, modelis gali samprotauti apie šaltinio kodą, nustatyti įtartinus modelius ir siūlyti išnaudoti spragas kurie parodo, ar gedimas yra tikrai kritinis. Tai sumažina išskirtinę priklausomybę nuo labai specializuotų komandų, kurių yra nedaug ir kurios negali susidoroti su tokiu programinės įrangos kiekiu, kurią reikia peržiūrėti.
„Mozilla“ tai atveria duris palaipsniui mažinti atotrūkį tarp klaidų, kurias gali aptikti mašinos, ir tų, kurias gali rasti žmonių ekspertai.Jei pažeidžiamumų paieškos kaina gynėjams smarkiai sumažėja, dalis struktūrinio pranašumo, kurį turėjo užpuolikai, įpratę mėnesius dirbti ieškodami vieno pelningo trūkumo, išnyksta.
Holley pripažįsta, kad pradinis šokas, pamačius tiek daug klaidų vienu metu, buvo ne kas kita, kaip vidinis žemės drebėjimas, tačiau tvirtina, kad pradiniam šokui nurimus, jausmas yra teigiamas: jei išteklius galima suskirstyti pagal prioritetus ir pastangas sutelkti į tai, ką atskleidžia DI, Gynėjai gali pradėti žaisti su tais pačiais ginklais.Tai yra, jei yra komandų, gebančių absorbuoti rezultatų kiekį ir paversti jį efektyviais pataisymais.
Tokio galingo saugumo dirbtinio intelekto keliama rizika: aiškus dviašmenis kardas
Be nuosaikaus „Mozilla“ entuziazmo, didelė dalis Europos kibernetinio saugumo sektoriaus atidžiai stebi galimas piktnaudžiavimas tokiais įrankiais kaip Claude MythosTa pati sistema, kuri leidžia rasti „Firefox“ spragas, netinkamose rankose gali būti naudojama automatizuoti operacinių sistemų, karštųjų piniginių, decentralizuotų programų ar kritinės infrastruktūros paslaugų pažeidžiamumų aptikimą.
„Anthropic“ žino apie šią riziką ir iš tikrųjų ją palaiko. „Mythos“ galima įsigyti su labai ribota prieiga per „Project Glasswing“.Šiai grupei priklauso tokios didelės technologijų įmonės kaip „Apple“, „Microsoft“, „Google“, „Amazon Web Services“, „Linux Foundation“ ir pati „Mozilla“. Ši grupė naudoja šį modelį savo programinei įrangai, o kai kuriais atvejais ir strateginei infrastruktūrai audituoti. Idėja – atidžiai kontroliuoti, kas ir kokiais tikslais analizuojama.
Naujausi pranešimai rodo, kad kontroliuojamų bandymų metu Claude'as Mythosas pasiekė Nustatyti ir išnaudoti nulinės dienos pažeidžiamumus plačiai naudojamose sistemosenuo naršyklių iki operacinių sistemų. Netgi buvo dokumentuota, kad ji gali gana autonomiškai atlikti sudėtingas kibernetines operacijas, pavyzdžiui, daugiapakopį įsilaužimo modeliavimą įmonių tinkluose.
Šios galimybės sukėlė susidomėjimą ne tik įmonėse, bet ir vyriausybės ir žvalgybos agentūrosPavyzdžiui, Jungtinėse Valstijose pranešama, kad Nacionalinė saugumo agentūra netgi vykdė „Mythos“ įslaptintuose tinkluose, nepaisant visuomenės abejonių dėl tokių įrankių naudojimo karo ar stebėjimo kontekste.
Europoje, kur diskusijos dėl Dirbtinio intelekto reguliavimas ir duomenų apsauga Tai ypač įtempta; tokie atvejai kaip „Firefox“ ir „Mythos“ suteikia vilčių visoms pusėms: viena vertus, jie rodo gerai valdomo dirbtinio intelekto vertę siekiant apsaugoti milijonus vartotojų; kita vertus, jie pabrėžia poreikį užtikrinti, kad tokio tipo modeliai netaptų naujos kartos didelio masto automatizuotų atakų kursu.
Poveikis atvirosios programinės įrangos ekosistemai ir Europos vartotojams
„Firefox“ užima unikalią vietą naršyklių pasaulyje. Nors ji prarado rinkos dalį „Chromium“ ir jo dariniams, ji išlieka... pagrindinis komponentas aplinkose, kuriose vertinama nemokama programinė įranga ir privatumas, kaip ir daugelis Europos viešojo administravimo institucijų, akademinių institucijų ir pažengusių GNU/Linux sistemų naudotojų.
Šiame kontekste 271 pažeidžiamumo atradimą galima interpretuoti dvejopai. Viena vertus, tai patvirtina, kad net Labai audituoti atvirojo kodo projektai gali paslėpti daugybę klaidų.Paprasčiausiai todėl, kad kodo bazė yra milžiniška ir rankinė peržiūra negali pasiekti visų vietų. Kita vertus, tai rodo, kad atviras kūrimo modelis palengvina išorinių įrankių, įskaitant pažangų dirbtinį intelektą, naudojimą kodo tikrinimui ir prisideda prie jo saugumo gerinimo.
„Mozilla“ pripažįsta, kad, padedama „Mythos“, dabar turi ilgas laukiančių užduočių, skirtų sustiprinti saugumą, sąrašas jų pagrindinės programėlės. Galutiniams vartotojams Ispanijoje ir likusioje Europoje rekomendacija paprasta: nuolat atnaujinti naršyklę pasinaudoti šiais pataisymais. 150 versija ne tik ištaiso aptiktas klaidas, bet ir išlaiko našumo, suderinamumo bei tokių funkcijų kaip smėlio dėžės technologijomis ir vietinio tinklo leidimų valdymu tobulinimo tempą.
Be to, „Firefox“ byla gali būti precedentas kiti atvirojo kodo projektai Šios priemonės kasdien naudojamos įmonėse, viešosiose įstaigose ir ypatingos svarbos paslaugų teikėjuose. Plačiai naudojamos priemonės – žiniatinklio serveriai, kriptografinės bibliotekos, kūrimo sistemos – galėtų būti naudingos panašiais dirbtinio intelekto valdomais auditais, o tai ypač aktualu Europos Sąjungoje, kur kibernetinio saugumo ir skaitmeninio atsparumo direktyvos tampa vis griežtesnės.
Iššūkis, kaip pripažįsta pati „Mozilla“, yra tas, kad daugelis šių projektų neturi pakankamai žmogiškųjų ar ekonominių išteklių išvadų srautui įsisavinti kurį gali sukurti toks modelis kaip „Mythos“. Čia į vaidmenį įsijungia ir laisvosios programinės įrangos fondai, ir viešoji politika, palaikanti atvirojo kodo saugumą – klausimas, kuris jau buvo iškeltas Briuselyje po tokių incidentų kaip „Log4Shell“.
Naujas žmonių ir dirbtinio intelekto santykių kibernetinio saugumo srityje etapas
Be anekdoto apie 271 pažeidžiamumus, „Firefox“ byla iškelia ir kitą klausimą. dėmesio centro pokyčiai žmonių tyrėjų ir dirbtinio intelekto santykiuose kibernetinio saugumo srityje. Užuot supriešinusi vieną su kitu, „Mozilla“ pasisako už modelį, kuriame pažangūs įrankiai išplečia saugumo komandų galimybes, nepakeisdami jų sprendimų priėmimo ar patirties.
Organizacija apibūdina Claude'ą Mythosą kaip savotišką nenuilstantis saugumo tyrėjasgalintys peržiūrėti didelius kodo kiekius, siūlyti spragų išnaudojimo būdus ir nustatyti rizikos modelius. Kartu su jais žmonės specialistai išlieka atsakingi už prioritetų nustatymą, patvirtinimą, taisymą ir sprendimą, kuriuos pakeitimus atlikti galutiniame produkte.
Ši bendradarbiavimo vizija turi tiesioginės įtakos Europos kibernetinio saugumo rinkai, kurioje jau veikia įmonės ir tyrimų centrai. Jie eksperimentuoja su dirbtiniu intelektu kodo auditams, kenkėjiškų programų analizei ar įsilaužimų aptikimui.Jei „Mozilla“ rezultatai bus pakartoti kituose projektuose, galime pastebėti, kad reakcijos laikas į kritinius gedimus sutrumpės, o spaudimas perkrautoms saugumo komandoms sumažės, bent iš dalies.
Tuo pačiu metu „Anthropic“ ir „Mozilla“ patirtis aiškiai parodo, kaip svarbu Iš naujo įvertinti dirbtinio intelekto modelių našumui matuoti naudojamus metodus saugumo užduotyse. Pati „Anthropic“ pripažino, kad daugelis dabartinių etalonų jau neatitinka realių jos naujausių sistemų galimybių įvertinimo reikalavimų, todėl reikia sukurti sudėtingesnius ir reprezentatyvesnius testus.
Jei yra vienas dalykas, dėl kurio, regis, sutaria ir „Mozilla“, ir „Anthropic“, tai kol kas yra tas, kad Nėra visiško žmogaus sprendimo pakaitalo rizikos valdyme. Dirbtinis intelektas pagreitina ir išplečia problemų paiešką, tačiau sprendimas, ką taisyti, kaip tai padaryti ir per kokį laiką, vis tiek priklauso nuo žmonių komandų, kurios turi suderinti saugumą, poveikį vartotojams ir turimus išteklius.
Viskas rodo, kad „Firefox 150“ išleidimas su 271 Claude'o Mythoso pažymėto pažeidžiamumo pataisymais prisimenamas kaip momentas, kai Kibernetinis saugumas žengė rimtą žingsnį intelektualios automatizacijos link.Taigi „Mozilla“ naršyklė tampa atvejo analize, kaip integruoti aukšto lygio dirbtinį intelektą į kritinio produkto kūrimo ir priežiūros gyvavimo ciklą, nepamirštant susijusios rizikos ar atidžios žmogaus priežiūros poreikio. Ispanijos ir Europos vartotojams, kūrėjams ir politikos formuotojams pamoka aiški: dirbtinis intelektas nebėra tik futuristinė koncepcija, o įrankis, kuris pradeda persvarstyti svarstykles kovoje, kuri dešimtmečius buvo palanki užpuolikams.
