Mozilla poinformowała, że model Mythos Preview od Anthropic wykrył 271 luk bezpieczeństwa w kodzie Firefox 150 – jeszcze przed jego oficjalnym wydaniem. To prawdopodobnie jeden z najgłośniejszych dotychczasowych przykładów praktycznego zastosowania zaawansowanej AI w cyberbezpieczeństwie.
Jeśli chcesz otrzymać raport przed oficjalną premierą oraz zobaczyć nazwę swojej firmy wśród uczestników badania – zostaw adres email na końcu ankiety.
Mythos kontra ludzie – wynik nieoczekiwany
Kiedy Anthropic zapowiadał Mythos Preview kilka tygodni temu, część środowiska potraktowała to jako typowy hype. Model miał być tak skuteczny w wykrywaniu luk bezpieczeństwa, że firma zdecydowała się ograniczyć jego dostęp wyłącznie do „limited group of critical industry partners” – wąskiej grupy strategicznych partnerów. Teraz Mozilla dostarcza konkretnych liczb.
Analiza przeprowadzona na niepublikowanym jeszcze kodzie Firefox 150 ujawniła 271 potencjalnych podatności. Dla porównania – wcześniejszy model Anthropic, Claude Opus 4.6, znalazł 22 błędy krytyczne dla bezpieczeństwa w kodzie Firefox 148. Różnica jest więc nie ilościowa, a rzędów wielkości.
CTO Firefoksa: „Obrońcy mają szansę wygrać”
Bobby Holley, CTO Firefox, nie ukrywa entuzjazmu. W swoim wpisie na blogu stwierdził wprost, że w nieustającej wojnie między atakującymi a obrońcami, „defenders finally have a chance to win, decisively” – obrońcy nareszcie mają szansę wygrać, i to zdecydowanie.
Holley zaznacza, że wykryte przez Mythos luki można było wcześniej znaleźć na dwa sposoby:
- automatycznym „fuzzingiem” – czyli testowaniem kodu losowymi danymi wejściowymi
- lub angażując doświadczonego analityka bezpieczeństwa, który ręcznie przeanalizuje kod źródłowy
W obu przypadkach mówimy o miesiącach pracy i znacznych kosztach. Mythos skrócił ten proces radykalnie. „Computers were completely incapable of doing this a few months ago, and now they excel at it” – napisał Holley. „We have many years of experience picking apart the work of the world’s best security researchers, and Mythos Preview is every bit as capable” / „Kilka miesięcy temu komputery były zupełnie niezdolne do czegoś takiego, a teraz robią to znakomicie. Mamy wieloletnie doświadczenie w analizowaniu pracy najlepszych badaczy bezpieczeństwa na świecie i Mythos Preview jest dokładnie tak samo zdolny.”
Komentarz redaktora
Wyniki Mozilli robią wrażenie i trudno je zbagatelizować – 271 luk zanim kod trafił do użytkowników to konkret, nie marketingowy slajd. Jednocześnie warto pamiętać, że ta sama zdolność wykrywania podatności, która dziś chroni Firefox, jutro może trafić w ręce atakujących bez skrupułów. Pytanie nie brzmi już „czy AI zmieni cyberbezpieczeństwo”, ale „kto będzie miał do niej dostęp pierwszy i na jakich warunkach”. Otwarta przestrzeń open source to szczególne pole ryzyka – publiczne repozytoria są łatwym celem zarówno dla AI-obrońców, jak i AI-napastników. Cieszę się z postępu, ale nie zapominajmy, że każde nowe narzędzie obrony jest jednocześnie potencjalnym narzędziem ataku.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Open source szczególnie narażony
Holley w rozmowie z Wired powiedział, że tego rodzaju analiza wspomagana przez AI to coś, z czym „every piece of software is going to have to [engage with]” – bo każde oprogramowanie ma ukryte błędy, które teraz stają się wykrywalne. I choć nie wiadomo, czy przyszłe modele będą skuteczniejsze od Mythos w znajdowaniu kolejnych luk, jest przekonany, że Firefox „rounded the curve” – wyprzedził zakręt.
Szczególną rolę AI w zabezpieczaniu open source podkreślił też Raffi Krikorian, CTO Mozilli, w eseju opublikowanym w New York Times. Wskazał, że dotychczasowa równowaga sił w cyberbezpieczeństwie wynikała po prostu z trudności pisania i analizowania skomplikowanego kodu. Mythos tę równowagę może zburzyć. „The programmer who gave 20 years of his life to maintain [the] code that runs inside products used by billions of people? He doesn’t have access to Mythos yet. He should” / „Programista, który poświęcił 20 lat życia na utrzymanie kodu używanego przez miliardy ludzi? On jeszcze nie ma dostępu do Mythos. Powinien mieć.”
Co to oznacza dla branży?
Wniosek jest prosty, choć niewygodny: jeśli narzędzia takie jak Mythos trafią do rąk atakujących szybciej niż do administratorów i deweloperów odpowiedzialnych za bezpieczeństwo infrastruktury, dotychczasowa asymetria sił odwróci się na ich korzyść. Mozilla zdążyła – bo miała wczesny dostęp. Większość projektów open source tego dostępu nie ma.
To nie jest już dyskusja o przyszłości. To teraźniejszość, która właśnie przewraca stolik.
