Как модель Mythos от Anthropic переписала подход Firefox к кибербезопасности

52 минуты назад / Технологии → Новости / Технологии

Когда Anthropic в апреле представила свою новую модель Mythos, она также вынесла суровое предупреждение всем разработчикам ПО. Как заявили в лаборатории, модель оказалась настолько мощной в поиске уязвимостей, что обнаружила тысячи критических багов, которые необходимо было исправить до её публичного релиза.

Теперь исследователи безопасности из команды браузера Firefox предоставили более детальный взгляд на то, как этот процесс выглядел на практике, и что возможности Mythos означают для безопасности программного обеспечения в целом.

В посте, опубликованном в четверг, Mozilla сообщила, что Mythos выявила множество критических ошибок, включая те, что «дремали» в коде более десяти лет.

Это значительный прогресс по сравнению с тем, на что были способны инструменты ИИ для поиска уязвимостей всего полгода назад. До сих пор такие инструменты имели серьезные недостатки, часто заваливая команды безопасности отчетами низкого качества и ложными срабатываниями. Однако исследователи Mozilla утверждают, что новое поколение инструментов совершило прорыв, особенно теперь, когда агентные системы могут оценивать собственную работу и отсеивать плохие результаты.

«Трудно переоценить, насколько сильно эта динамика изменилась для нас за несколько коротких месяцев, — написали исследователи. — Во-первых, модели стали гораздо более способными. Во-вторых, мы значительно улучшили наши методы использования этих моделей».

Источник изображения:Firefox

Результаты впечатляют: в апреле 2026 года Firefox выпустил 423 исправления ошибок, тогда как ровно год назад их было всего 31. Исследователи также опубликовали подробности о 12 багах, включая пару необычных уязвимостей «песочницы» и 15-летнюю ошибку в том, как браузер обрабатывает HTML-элемент.

«Эти штуки внезапно стали очень хороши, — рассказал TechCrunch Брайан Гринстед, выдающийся инженер Mozilla. — Мы видим это по нашим внутренним сканированиям, по внешним отчетам об ошибках и по всевозможным сигналам по всей индустрии».

Тот факт, что система помогла выявить уязвимости в системе «песочницы» Firefox, особенно впечатляет, учитывая, насколько сложной должна быть атака, эксплуатирующая их. Чтобы найти уязвимости в «песочнице», модель должна написать скомпрометированный патч для браузера, а затем атаковать самую защищенную часть ПО с внедренным новым кодом. Поиск и демонстрация ошибки — это деликатный многоэтапный процесс, требующий как творческого подхода, так и пристального внимания.

Для контекста: программа вознаграждений за найденные ошибки Mozilla платит исследователям, которые могут найти баг в «песочнице» Firefox, до $20 000 (~1,6 млн рублей) — это самая высокая награда. Несмотря на щедрое вознаграждение, Гринстед говорит, что Mythos находит больше проблем с «песочницей», чем когда-либо находили исследователи-люди. «Мы их получаем, — сказал он TechCrunch, — но не в таком объеме, который мы можем найти с помощью этой техники».

Примечательно, что команда Firefox по-прежнему не использует ИИ для исправления ошибок, несмотря на хорошо задокументированный прогресс в инструментах для написания кода. Команда просит ИИ написать патчи для каждой ошибки, но полученный код обычно не может быть развернут напрямую и служит лишь образцом для инженера-человека.

«Что касается ошибок, о которых мы говорим в этом посте, каждая из них — это один инженер, пишущий патч, и один инженер, проверяющий его, — говорит Гринстед. — Мы не обнаружили, что этот процесс можно автоматизировать».

Пока неясно, как новые возможности ИИ изменят общий баланс сил в кибербезопасности. С момента анонса Mythos прошел месяц, и большинство обнаруженных ошибок, вероятно, еще не исправлены, что затрудняет оценку полного масштаба их влияния. Anthropic скрупулезно соблюдает нормы ответственного раскрытия информации, но вполне вероятно, что злоумышленники используют аналогичные методы за кулисами, даже если используемые ими модели не так хороши.

Выступая на недавнем мероприятии, генеральный директор Anthropic Дарио Амодеи выразил оптимизм, что новые инструменты в конечном итоге будут на стороне защитников. «Если мы правильно подойдем к этому, мы можем оказаться в лучшем положении, чем были в начале, потому что мы исправим все эти ошибки. Ошибок не так много, чтобы их найти, — сказал Амодеи. — Поэтому я думаю, что по ту сторону этого процесса нас ждет лучший мир».

Столкнувшись с суровой реальностью, Гринстед придерживается более сдержанного мнения: «Это полезно как для атакующих, так и для защитников, но наличие такого инструмента немного смещает преимущество в сторону защиты. Реалистично, никто пока не знает ответа на этот вопрос».

Цены сконвертированы автоматически. Реальные цены могут отличаться.