Потужна модель ШІ Claude Mythos від Anthropic виявила сотні вразливостей у Mozilla Firefox, підкреслюючи її потенціал у кібербезпеці.
Створіть обліковий запис, щоб зберегти свої статті.Додати в GoogleДодайте Decrypt як улюбленого постачальника, щоб бачити більше наших історій у Google.
Коротко
- Mozilla повідомляє, що Claude Mythos від Anthropic виявила 271 вразливість у Firefox під час тестування.
- Anthropic обмежує доступ до моделі перевіреним партнерам через Project Glasswing через ризики кібербезпеки.
- Дослідники попереджають, що подібні можливості можуть прискорити автоматизовані кібератаки.
Десятиліттями нападники мали перевагу в кібербезпеці. Штучний інтелект (ШІ) може змінити цю ситуацію.
У вівторок розробник браузера Firefox, компанія Mozilla, опублікувала повідомлення, в якому йдеться про те, що рання версія ШІ Claude Mythos від Anthropic – яка останніми тижнями привернула увагу своїми заявленими можливостями у сфері кібербезпеки – допомогла виявити 271 вразливість у браузері під час внутрішнього тестування. Ці помилки були виправлені цього тижня.
Результати підкреслюють, як передові системи ШІ можуть аналізувати великі кодові бази та виявляти слабкі місця, що раніше вимагало ретельного ручного огляду з боку дослідників з кібербезпеки.
«Оскільки ці можливості потрапляють до рук більшої кількості захисників, багато інших команд зараз відчувають таке ж запаморочення, яке відчули ми, коли результати вперше стали зрозумілими», – написала Mozilla. «Для захищеної цілі лише одна така помилка була б червоним попередженням у 2025 році, а стільки одночасно змушує замислитися, чи взагалі можливо встигати».
Раніше Mozilla тестувала іншу модель Anthropic, яка виявила 22 вразливості, пов’язані з безпекою, у попередньому випуску Firefox. Незважаючи на ці успіхи, Mozilla визнала, що галузь кібербезпеки давно вважає повне усунення програмних експлойтів «нереалістичною метою».
«До цього часу галузь переважно боролася з безпекою внічию», – написала компанія. «Постачальники критичного програмного забезпечення, виставленого в Інтернеті, такого як Firefox, надзвичайно серйозно ставляться до безпеки і мають команди людей, які щоранку встають з ліжка, думаючи про те, як захистити користувачів».
Mozilla заявила, що нова система ШІ може аналізувати вихідний код і виявляти вразливості так, як це раніше залежало від дефіцитної людської експертизи. Однак Mozilla зазначила, що компанію заспокоїло те, що не було знайдено жодних помилок, які «не могли б бути виявлені елітним людським дослідником».
«Деякі коментатори прогнозують, що майбутні моделі ШІ виявлять абсолютно нові форми вразливостей, які виходять за межі нашого поточного розуміння, але ми так не вважаємо», – зазначили вони. «Програмне забезпечення, як Firefox, розроблено модульно, щоб люди могли міркувати про його коректність. Воно складне, але не довільно складне».
Однак результати свідчать про те, що інструменти ШІ можуть дозволити розробникам виявляти велику кількість вразливостей до того, як нападники їх використають, хоча, навпаки, у неправильних руках це може означати великі неприємності для програмних компаній і користувачів.
Mythos, випущений у березні, є найсучаснішою моделлю Anthropic для завдань, пов’язаних з міркуванням, кодуванням та кібербезпекою. Внутрішні матеріали компанії описують систему як частину нового рівня моделей, що виходить за межі попередньої серії Opus компанії.
Тестування, проведене до випуску моделі, показало, що вона може виявляти тисячі раніше невідомих вразливостей у великих операційних системах та веб-браузерах.
Anthropic обмежила доступ до системи через програму Project Glasswing, яка надає обраним технологічним компаніям, включаючи Amazon, Apple та Microsoft, можливість використовувати модель для сканування програмного забезпечення на наявність слабких місць. Це відображає зростаючі зусилля в галузі кібербезпеки щодо використання систем ШІ для виявлення та виправлення вразливостей до того, як їх зможуть використати зловмисники.
Однак та сама технологія може також сприяти новим формам кібератак. Дослідники безпеки стверджують, що системи ШІ, здатні аналізувати код у великих масштабах, можуть автоматизувати виявлення вразливостей, які можна експлуатувати, у широко використовуваному програмному забезпеченні.
Після запуску Mythos тестування Інститутом безпеки ШІ Великої Британії виявило, що ШІ може автономно виконувати складні кібероперації, включаючи симуляцію багатоетапної атаки на корпоративну мережу без втручання людини. Ці можливості привернули увагу як урядів, так і розвідувальних агентств.
Незважаючи на заклик адміністрації президента Дональда Трампа припинити використання технологій Anthropic через розбіжності щодо їх використання у військових цілях та спостереженні, у понеділок стало відомо, що Агентство національної безпеки використовує Claude Mythos Preview на секретних мережах, згідно з джерелами, знайомими з розгортанням. Використання Mythos підкреслює зростаючий інтерес серед американських установ безпеки до здатності моделі виявляти критичні вразливості програмного забезпечення.
Продуктивність моделі також виявила обмеження існуючих систем оцінки ШІ. На початку цього місяця Anthropic визнала, що кілька показників кібербезпеки більше не є достатніми для вимірювання можливостей її найновіших моделей.
Mozilla зазначила, що результати вказують на потенційний зсув у сфері кібербезпеки, де захисники можуть почати скорочувати давню перевагу нападників.
«Ми надзвичайно пишаємося тим, як наша команда впоралася з цим викликом, і інші також впораються», – написала Mozilla. «Наша робота не завершена, але ми подолали перешкоду і можемо побачити майбутнє, яке набагато краще, ніж просто встигати. Захисники нарешті мають шанс перемогти, рішуче».
Mozilla не одразу відповіла на запит Decrypt про коментар.
Погляд Crypto Top: Використання передових моделей ШІ для виявлення вразливостей у програмному забезпеченні, таких як Firefox, створює прецедент для посилення безпеки в Web3. Це може призвести до появи нових токенів, що спеціалізуються на аудиті смарт-контрактів, або інтеграції ШІ-агентів у децентралізовані мережі для проактивного моніторингу безпеки.
Джерело: decrypt.co