În cadrul unei evaluări inițiale cu modelul Claude Mythos Preview, dezvoltat de Anthropic, echipa Firefox a identificat și remediat nu mai puțin de 271 de vulnerabilități pentru versiunea 150 a browserului. Acest rezultat spectaculos vine după o colaborare anterioară cu Anthropic, când modelul Opus 4.6 a dus la 22 de corecții sensibile de securitate în versiunea 148. Diferența de scară este uluitoare și semnalează o schimbare de paradigmă.
„Aducerea exploit-urilor la zero era considerată cândva un obiectiv nerealist”, explică analiștii din domeniu. Doctrina operațională predominantă urmărea să facă atacurile atât de costisitoare, încât doar adversarii cu bugete practic nelimitate să și le poată permite, descurajând astfel utilizarea ocazională. Însă evaluarea recentă a echipei Firefox contestă acest status quo acceptat.
Descoperirea a sute de vulnerabilități simultan pune o presiune uriașă asupra resurselor unei echipe. Dar, în climatul strict de reglementare de astăzi, efortul suplimentar de a preveni o breșă de date sau un atac ransomware se plătește singur. Scanarea automată reduce, de asemenea, costurile; deoarece sistemul verifică continuu codul în raport cu baze de date cunoscute de amenințări, firmele pot reduce angajarea de consultanți externi costisitori.
Integrarea modelelor avansate de inteligență artificială în fluxurile de integrare continuă existente introduce considerații serioase privind costurile de calcul. Rularea a milioane de token-uri de cod proprietar printr-un model precum Claude Mythos Preview necesită o cheltuială de capital dedicată. Întreprinderile trebuie să stabilească medii sigure de baze de date vectoriale pentru a gestiona ferestrele de context necesare pentru bazele de cod vaste, asigurându-se că logica corporativă proprietară rămâne strict compartimentată și protejată.
Evaluarea rezultatelor impune, de asemenea, o atenuare riguroasă a halucinațiilor. Un model care generează vulnerabilități de securitate fals-pozitive irosește ore prețioase de inginerie umană. Prin urmare, conducta de implementare trebuie să coreleze rezultatele modelului cu instrumentele existente de analiză statică și cu rezultatele fuzzing-ului pentru a valida descoperirile.
Testarea automată a securității se bazează în mare măsură pe tehnici de analiză dinamică, în special fuzzing, efectuate de echipe interne roșii. Deși fuzzing-ul este extrem de eficient, se luptă cu anumite părți ale bazei de cod. Cercetătorii de securitate de elită depășesc aceste limitări prin raționament manual asupra codului sursă pentru a identifica erori logice. Acest proces manual consumă mult timp și este constrâns de raritatea expertizei umane de elită.
Integrarea modelelor avansate elimină această constrângere umană. Calculatoarele, complet incapabile de această sarcină acum doar câteva luni, excelează acum în raționamentul asupra codului. Mythos Preview demonstrează paritate cu cei mai buni cercetători de securitate din lume. Echipa de inginerie a notat că nu a găsit nicio categorie sau complexitate de eroare pe care oamenii să o poată identifica și pe care modelul să nu o poată. De asemenea, încurajator, nu au văzut nicio eroare care să nu fi putut fi descoperită de un cercetător uman de elită.
În timp ce migrarea către limbaje sigure din punct de vedere al memoriei, precum Rust, oferă atenuare pentru anumite clase comune de vulnerabilități, oprirea dezvoltării pentru a înlocui decenii de cod C++ moștenit este financiar neviabilă pentru majoritatea afacerilor. Instrumentele automate de raționament oferă o metodă extrem de rentabilă pentru a securiza bazele de cod moștenite, fără a suporta cheltuiala uriașă a unei revizuiri complete a sistemului.
Un decalaj mare între ceea ce pot descoperi mașinile și ceea ce pot descoperi oamenii favorizează puternic atacatorul. Actorii ostili pot concentra luni de efort uman costisitor pentru a descoperi un singur exploit. Închiderea decalajului de descoperire face identificarea vulnerabilităților ieftină, erodând avantajul pe termen lung al atacatorului.
Deși primul val de erori identificate pare înfricoșător pe termen scurt, oferă vești excelente pentru apărarea întreprinderilor. Furnizorii de software vital expus pe internet au echipe dedicate care urmăresc să protejeze utilizatorii. Pe măsură ce alte firme de tehnologie adoptă metode similare de evaluare, nivelul de bază al răspunderii pentru software se va schimba. Dacă modelele pot găsi în mod fiabil erori logice într-o bază de cod, nerespectarea utilizării unor astfel de instrumente ar putea fi considerată în curând neglijență corporativă.
Important, nu există nicio indicație că aceste sisteme inventează categorii complet noi de atacuri care sfidează înțelegerea actuală. Aplicațiile software precum Firefox sunt proiectate într-un mod modular pentru a permite raționamentul uman asupra corectitudinii. Software-ul este complex, dar nu arbitrar de complex. Defectele software sunt finite.
Prin adoptarea auditurilor automate avansate, liderii tehnologici pot învinge în mod activ amenințările persistente. Influxul inițial de date necesită o concentrare intensă a ingineriei și o reprioritizare. Cu toate acestea, echipele care se angajează în munca de remediere necesară vor găsi o concluzie pozitivă a procesului. Industria se îndreaptă către un viitor apropiat în care echipele de apărare dețin un avantaj decisiv.
De ce este important:
Această descoperire marchează un punct de cotitură în securitatea cibernetică. Pentru prima dată, inteligența artificială demonstrează capacitatea de a identifica vulnerabilități la un nivel comparabil cu cel mai bun expert uman, dar la o scară și o viteză mult superioare. Implicațiile sunt profunde: costurile de apărare scad dramatic, iar atacatorii își pierd avantajul economic. Pentru companii, adoptarea acestor instrumente nu mai este o opțiune, ci o necesitate strategică și, în curând, o obligație legală. Pe măsură ce tehnologia se maturizează, vom asista la o reducere semnificativă a numărului de breșe de date și la o creștere a încrederii în ecosistemul digital.
