Într-o postare publicată joi, Mozilla a declarat că Mythos a scos la iveală o mulțime de bug-uri de severitate ridicată, inclusiv unele care au rămas latente în cod mai bine de un deceniu. Aceasta reprezintă o îmbunătățire semnificativă față de ceea ce erau capabile instrumentele de securitate AI chiar și acum șase luni. Până acum, instrumentele AI de găsire a bug-urilor aveau dezavantaje severe, adesea inundând echipele de securitate cu rapoarte de calitate scăzută și alarme false. Dar cercetătorii Mozilla spun că ultima generație de instrumente a făcut un pas înainte, mai ales acum că sistemele agentice își pot evalua propria activitate și pot filtra rezultatele proaste.
„Este greu să exagerăm cât de mult s-a schimbat această dinamică pentru noi în doar câteva luni”, au scris cercetătorii. „În primul rând, modelele au devenit mult mai capabile. În al doilea rând, ne-am îmbunătățit dramatic tehnicile de valorificare a acestor modele.” Rezultatele sunt izbitoare: în aprilie 2026, Firefox a livrat 423 de corecții de bug-uri, comparativ cu doar 31 exact cu un an mai devreme. Cercetătorii au publicat, de asemenea, detalii despre 12 dintre bug-uri, care variază de la o pereche de vulnerabilități neobișnuite de tip „sandbox” până la o eroare veche de 15 ani în modul în care browserul parsează un element HTML.
„Aceste lucruri sunt, de fapt, brusc foarte bune”, a declarat Brian Grinstead, inginer distins la Mozilla, pentru TechCrunch. „Vedem asta în scanările noastre interne, vedem asta în rapoartele externe de bug-uri și vedem asta în tot felul de semnale din întreaga industrie.”
Faptul că sistemul a ajutat la dezvăluirea vulnerabilităților în sistemul „sandbox” al Firefox este deosebit de impresionant, având în vedere cât de complexă trebuie să fie un atac care îl exploatează. Pentru a găsi vulnerabilități în sandbox, modelul trebuie să scrie un patch compromis pentru browser, apoi să atace cea mai securizată parte a software-ului cu noul cod implementat. Găsirea și demonstrarea bug-ului este un proces delicat, în mai mulți pași, care necesită atât creativitate, cât și atenție la detalii.
Pentru a pune acest lucru în context, programul de recompense pentru bug-uri al Mozilla plătește cercetătorilor care pot găsi un bug în sandbox-ul Firefox până la 20.000 de dolari – cea mai mare recompensă disponibilă. În ciuda recompensei generoase, Grinstead spune că Mythos găsește mai multe probleme de sandbox decât au găsit vreodată cercetătorii umani. „Primim astfel de rapoarte”, a spus el pentru TechCrunch, „dar nu în volumul pe care îl putem găsi cu această tehnică.”
În mod notabil, echipa Firefox încă nu folosește AI pentru a repara bug-urile, în ciuda progreselor bine documentate în instrumentele de codare AI. Echipa cere AI-ului să scrie patch-uri pentru fiecare bug, dar codul rezultat nu poate fi de obicei implementat direct și servește mai degrabă ca model pentru un inginer uman. „Pentru bug-urile despre care vorbim în această postare, fiecare este scris de un inginer și revizuit de un alt inginer”, spune Grinstead. „Nu am găsit că acest proces poate fi automatizat.”
Încă nu este clar cum vor schimba capacitățile emergente ale AI echilibrul de putere în securitatea cibernetică. La o lună de când Mythos a fost prezentat, majoritatea bug-urilor descoperite probabil nu au fost încă corectate, ceea ce face dificilă captarea întregului impact al acestora. Anthropic a fost scrupulos în respectarea normelor de dezvăluire responsabilă, dar este probabil ca actorii rău intenționați să folosească tehnici similare în culise, chiar dacă modelele pe care le folosesc nu sunt la fel de bune.
Vorbind la un eveniment recent, CEO-ul Anthropic, Dario Amodei, s-a arătat optimist că noile instrumente vor favoriza în cele din urmă apărătorii. „Dacă gestionăm corect acest lucru, am putea fi într-o poziție mai bună decât cea de la care am pornit, pentru că am reparat toate aceste bug-uri. Există doar un număr limitat de bug-uri de găsit”, a spus Amodei. „Așadar, cred că există o lume mai bună de cealaltă parte a acestui proces.”
După ce s-a ocupat de detaliile practice, Grinstead are o viziune mai măsurată: „Este util atât pentru atacatori, cât și pentru apărători, dar disponibilitatea instrumentului mută ușor avantajul către apărare. Realist, nimeni nu știe încă răspunsul la această întrebare.”
De ce este important:
Această descoperire marchează un punct de cotitură în securitatea cibernetică, demonstrând că inteligența artificială poate identifica vulnerabilități ascunse de ani de zile, pe care cercetătorii umani nu le-au găsit. Pentru utilizatorii obișnuiți, înseamnă browsere mai sigure și mai puține riscuri de atacuri cibernetice. Pentru industrie, ar putea schimba fundamental modul în care sunt descoperite și remediate bug-urile, oferind apărătorilor un avantaj semnificativ. Totuși, rămâne întrebarea dacă aceeași tehnologie nu va fi folosită și de atacatori, ceea ce face ca acest domeniu să fie mai dinamic ca niciodată.
