Mythos від Anthropic знайшов сотні вразливостей у Firefox
- ШІ-модель Anthropic Mythos виявила серйозні вразливості у Firefox, деякі з яких існували в коді понад 10 років.
- У квітні 2026 року Firefox випустив 423 виправлення помилок — проти 31 виправлення рік тому.
- Mythos знаходить більше вразливостей у системі пісочниці, ніж людські дослідники, попри винагороду до $20 000 за їх виявлення.
- ШІ не використовується для написання фінальних патчів — кожне виправлення пишеться та перевіряється інженерами вручну.
Модель Mythos від Anthropic, представлена у квітні 2026 року, виявила тисячі серйозних вразливостей у програмному забезпеченні ще до публічного виходу — про це попередив сам розробник. Тепер дослідники безпеки Mozilla поділились подробицями про те, як цей процес виглядав на практиці у браузері Firefox.
За словами Mozilla, Mythos виявив значну кількість серйозних помилок, серед яких — деякі, що залишались непоміченими в коді понад десять років. Це суттєво відрізняється від можливостей ШІ-інструментів для пошуку вразливостей ще пів року тому: раніше вони генерували велику кількість низькоякісних звітів і хибних спрацювань. Дослідники Mozilla зазначають, що нове покоління інструментів змінило ситуацію, зокрема завдяки агентним системам, здатним оцінювати власні результати та відфільтровувати помилкові.
Результати є показовими: у квітні 2026 року Firefox випустив 423 виправлення помилок порівняно з 31 виправленням рік тому. Mozilla також опублікувала деталі 12 вразливостей — серед них дві незвичайні помилки в системі пісочниці та 15-річна помилка в обробці браузером HTML-елемента.
Виявлення вразливостей у системі пісочниці Firefox є особливо значущим через складність таких атак. Програма винагород Mozilla платить дослідникам до 20 000 доларів за виявлення подібних помилок — це максимальна сума в рамках програми. За словами Браяна Грінстеда, провідного інженера Mozilla, Mythos знаходить більше таких вразливостей, ніж будь-коли виявляли людські дослідники.
Попри прогрес у сфері ШІ-кодування, команда Firefox не використовує ШІ для виправлення помилок. Хоча модель і генерує патчі для кожної вразливості, отриманий код здебільшого не може бути розгорнутий безпосередньо — він слугує зразком для інженера-людини. Кожне виправлення пишеться одним інженером і перевіряється іншим.
Питання про те, як нові ШІ-можливості змінять баланс сил у кібербезпеці, залишається відкритим. Генеральний директор Anthropic Даріо Амодеї висловив оптимізм щодо того, що нові інструменти в підсумку нададуть перевагу захисникам. Грінстед дотримується обережнішої позиції: на його думку, інструмент корисний як для атакуючих, так і для захисників, але його доступність дещо зміщує перевагу на бік захисту.
