Теперь исследователи безопасности браузера Mozilla Firefox более подробно рассказывают о том, как этот процесс выглядел на практике и что возможности Mythos означают для безопасности программного обеспечения в целом.
В публикации, размещенной в четверг, Mozilla сообщила, что Mythos обнаружил множество критических уязвимостей, в том числе те, что оставались незамеченными в коде более десяти лет.
Это значительное улучшение по сравнению с тем, на что были способны инструменты безопасности на базе ИИ всего шесть месяцев назад. До недавнего времени инструменты для поиска багов на основе ИИ имели серьезные недостатки, часто перегружая команды безопасности отчетами низкого качества и ложными срабатываниями. Однако исследователи Mozilla утверждают, что новейшее поколение инструментов переломило ситуацию, особенно теперь, когда агентные системы могут оценивать собственную работу и отфильтровывать некорректные результаты.
«Трудно переоценить, насколько сильно эта динамика изменилась для нас за несколько коротких месяцев», — написали исследователи. «Во-первых, модели стали намного более способными. Во-вторых, мы радикально улучшили наши методы использования этих моделей».
Результаты поразительны: в апреле 2026 года в Firefox было выпущено 423 исправления ошибок по сравнению с 31 годом ранее. Исследователи также опубликовали подробности о 12 уязвимостях, начиная от пары необычных уязвимостей «песочницы» и заканчивая 15-летней ошибкой в парсинге HTML-элемента браузером.
«Эти вещи внезапно стали очень хорошими», — сказал Брайан Гринстед, выдающийся инженер Mozilla, в интервью TechCrunch. «Мы видим это при нашем внутреннем сканировании, мы видим это в отчетах о внешних багах, и мы видим это по всем сигналам в отрасли».
Тот факт, что система помогла выявить уязвимости в системе «песочницы» Firefox, особенно впечатляет, учитывая, насколько сложной должна быть атака, использующая ее. Чтобы найти уязвимости в «песочнице», модель должна написать скомпрометированный патч для браузера, а затем атаковать самую защищенную часть программного обеспечения с помощью нового кода. Поиск и демонстрация бага — это тонкий, многоступенчатый процесс, требующий как креативности, так и пристального внимания.
Для контекста, программа Bug Bounty от Mozilla платит исследователям, которые могут найти уязвимость в «песочнице» Firefox, до 20 000 долларов — это самое высокое доступное вознаграждение. Несмотря на высокое вознаграждение, Гринстед утверждает, что Mythos находит больше проблем с «песочницей», чем когда-либо находили люди-исследователи. «Мы их получаем», — сказал он TechCrunch, — «но не в том объеме, в котором мы можем найти с помощью этой техники».
Примечательно, что команда Firefox по-прежнему не использует ИИ для исправления ошибок, несмотря на задокументированный прогресс в инструментах кодирования на базе ИИ. Команда просит ИИ сгенерировать патчи для каждой ошибки, но полученный код, как правило, не может быть развернут напрямую, а вместо этого служит моделью для инженера-человека.
«По ошибкам, о которых мы говорим в этой статье, каждый патч пишется одним инженером и проверяется другим», — говорит Гринстед. «Мы не обнаружили, что это можно автоматизировать».
Пока неясно, как новые возможности ИИ изменят общий баланс сил в сфере кибербезопасности. Прошел месяц с момента анонса Mythos, и большинство обнаруженных ошибок, вероятно, еще не исправлены, что затрудняет оценку полного масштаба их воздействия. Anthropic скрупулезно соблюдает нормы ответственного раскрытия информации, но вполне вероятно, что злоумышленники используют аналогичные методы за кулисами, даже если используемые ими модели не так хороши.
Выступая на недавнем мероприятии, генеральный директор Anthropic Дарио Амодей выразил оптимизм, что новые инструменты в конечном итоге будут на стороне защитников. «Если мы справимся с этим правильно, мы можем оказаться в лучшем положении, чем начинали, потому что мы исправили все эти ошибки. Есть только определенное количество ошибок, которые можно найти», — сказал Амодей. «Так что я думаю, что по ту сторону этого нас ждет лучший мир».
Изучив все тонкости, Гринстед придерживается более взвешенного мнения: «Это полезно как для атакующих, так и для защитников, но наличие этого инструмента немного сдвигает преимущество в сторону защиты. Реалистично, никто пока не знает ответа на этот вопрос».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Russell Brandom
