Wyobraź sobie, że twój kod dostaje solidny wycisk od sztucznej inteligencji, a ty zamiast panikować, otwierasz szampana. Mozilla właśnie zafundowała taką sesję nadchodzącej wersji Firefoxa 150, wpuszczając do środka Mythos Preview od Anthropic. Efekt? Model wywlekł na światło dzienne 271 luk bezpieczeństwa, które mogłyby stać się prezentem dla hakerów. To nie jest kolejny nudny komunikat prasowy, tylko realny dowód na to, że w cyberbezpieczeństwie kończą się żarty.
TL;DR
- Mythos Preview znalazł 271 luk w kodzie Firefoxa 150
- Poprzedni model Opus 4.6 złapał tylko 22 w wersji 148
- Bobby Holley: AI daje obrońcom przewagę nad hakerami
- Firefox 150 zawiera patche dla wszystkich 271 luk
- Raffi Krikorian w NYT: open source potrzebuje dostępu do takich narzędzi
Jak Mozilla przetestowała Mythos?
Ekipa Firefoxa dostała do rąk zabawkę, której wielu się boi: Mythos Preview. To model od Anthropic, o którym krążyły legendy, że potrafi wyszukiwać błędy w kodzie lepiej niż niejeden doświadczony pentester. Mozilla nie bawiła się w półśrodki i po prostu nakarmiła go nieopublikowanym jeszcze kodem Firefoxa 150. Rezultat był brutalny: 271 luk bezpieczeństwa zostało namierzonych i załatanych, zanim jakikolwiek użytkownik zdążył pobrać nową wersję przeglądarki.
Bobby Holley, który w Mozilli trzyma rękę na pulsie technologii, nie krył entuzjazmu na oficjalnym blogu. Mythos nie potrzebował prowadzenia za rękę ani specjalnych instrukcji: po prostu analizował kod, symulując tok rozumowania elitarnego badacza. Zamiast miesięcy żmudnej, ludzkiej dłubaniny nad pojedynczym błędem, AI przeorało całą strukturę w tempie, które dla człowieka jest po prostu nieosiągalne.
Holley porównuje ten proces do zaawansowanego fuzzingu, czyli bombardowania softu losowymi danymi w poszukiwaniu błędów, ale z jedną istotną różnicą. Mythos faktycznie rozumie architekturę przeglądarki i potrafi wyciągać wnioski z niezwykle złożonych zależności w kodzie. To już nie jest ślepe strzelanie na oślep, tylko precyzyjna operacja chirurgiczna wykonana przez algorytm.
Porównanie z wcześniejszym Claude Opus
Żeby zrozumieć skalę tego skoku, musimy cofnąć się o miesiąc. Wtedy Anthropic testował model Opus 4.6 na Firefoxie 148 i wynik był, powiedzmy, poprawny: 22 znalezione luki. Dzisiaj Mythos wykręca wynik ponad 12 razy lepszy, co pokazuje, że tempo rozwoju tych modeli jest wręcz absurdalne. To już nie jest ewolucja, to brutalny sprint, który zostawia tradycyjne metody testowania daleko w tyle.
W poprzednim teście większość błędów miała status wysokiego ryzyka. Mythos nie tylko zwiększył liczbę trafień, ale udowodnił, że potrafi wyłapać subtelności, które wcześniej umykały nawet najbardziej zaawansowanym modelom językowym. Mozilla dostała do rąk narzędzie, które w kilka dni zrobiło robotę wartą miliony dolarów na czarnym rynku exploitów.
| Model Anthropic | Wersja Firefoxa | Luki znalezione |
|---|---|---|
| Mythos Preview | 150 | 271 |
| Opus 4.6 | 148 | 22 |
Holley stawia sprawę jasno: to, co jeszcze kilka miesięcy temu było dla komputerów barierą nie do przejścia, dziś jest standardową procedurą. Jesteśmy świadkami momentu, w którym AI wchodzi na poziom ekspercki w dziedzinie, która do tej pory była zarezerwowana wyłącznie dla garstki najlepiej opłacanych specjalistów od cyberbezpieczeństwa na świecie.
Bobby Holley o przewadze obrońców
W rozmowie z redakcją Wired Holley rzucił odważną tezę: niedługo żaden poważny program nie wyjdzie na rynek bez wcześniejszego „przesłuchania” przez AI. Każdy software ma pod maską masę błędów, które tylko czekają na odkrycie, a Mythos sprawia, że ich wykopanie staje się śmiesznie tanie. To zmienia zasady gry, bo do tej pory to hakerzy mieli więcej czasu i cierpliwości na szukanie dziur w całym.
Zdaniem szefa technologii Firefoxa, nowa technologia wreszcie daje realne fory tym, którzy budują, a nie niszczą. Skoro koszt znalezienia luki drastycznie spada, wygrywa ten, kto szybciej wypuści poprawkę.
„Obrońcy mają szansę wygrać decydująco” – pisze Holley, sugerując, że era, w której jeden sprytny exploit mógł sparaliżować pół świata, powoli odchodzi do lamusa.
Mamy tu do czynienia z ciekawym paradoksem. Anthropic początkowo trzymał Mythos pod kluczem, bojąc się, że model stanie się ulubionym narzędziem cyberprzestępców. Tymczasem kontrolowane udostępnienie go Mozilli pokazuje, że ten sam „cyfrowy włamywacz” może być najlepszym strażnikiem. Mozilla twierdzi, że dzięki temu testowi udało się im przeskoczyć kilka etapów rozwoju zabezpieczeń naraz.
Implikacje dla open source
Dla projektów open source, takich jak Firefox, AI to miecz obosieczny. Kod jest publiczny, więc każdy może go analizować, a nad jego bezpieczeństwem czuwają często wolontariusze, którzy nie zawsze mają czas na walkę z armią botów. Raffi Krikorian z Mozilli na łamach New York Times zauważył gorzko, że programista poświęcający życie na darmowy kod dla miliardów ludzi wciąż nie ma swobodnego dostępu do narzędzi klasy Mythos.
Krikorian bije na alarm: jeśli dostęp do tak potężnych modeli będą miały tylko wielkie korporacje i rządy, równowaga w sieci zostanie zachwiana. Anthropic na razie wybiera partnerów bardzo ostrożnie, stawiając na gigantów pokroju Apple czy Google w ramach Project Glasswing. Świat otwartego oprogramowania musi dostać te same zabawki, żeby nie stać się cyfrowym skansenem pełnym dziur.
Holley dodaje na koniec, że Mythos nie jest magiczną różdżką, która znajduje rzeczy niemożliwe do wykrycia przez człowieka. On po prostu robi to masowo, błyskawicznie i za ułamek kosztów. To demokratyzacja audytu bezpieczeństwa, która może uratować mniejsze, niedofinansowane projekty przed totalną kompromitacją w starciu z nowoczesnymi zagrożeniami.
Źródła:
Ars Technica, Wired, blog.mozilla.org, The New York Times, Engadget, The Register
Najczęściej zadawane pytania
Tak, to luki dnia zerowego – wcześniej nieznane błędy w kodzie Firefoxa 150. Wszystkie zostały załatane przed wydaniem.
Model jest tak dobry w znajdowaniu exploitów, że firma boi się powszechnego użycia przez hakerów. Dostęp mają tylko partnerzy jak Mozilla.
Nie całkowicie – Mythos symuluje ich rozumowanie, ale nie eksploatuje luk. Ułatwia jednak masowe skanowanie kodu.
Holley sugeruje, że Chrome czy Safari też będą musiały biegać po podobnych narzędziach. Każde duże soft musi.
