Za nekoliko dana, zajednički eksperiment između Antropski i Mozilla To je preokrenulo tradicionalni način pronalaženja grešaka u velikim softverskim projektima. Korištenje modela Claude Opus 4.6Kompanija za vještačku inteligenciju uspjela je locirati 22 ranjivosti u Firefoxu za samo dvije sedmice, preglednik koji svakodnevno koriste milioni ljudi u Evropi i Španiji i smatra se jednim od mjerila otvorenog koda.
Daleko od toga da je jednostavna anegdota, ovaj slučaj pokazuje u kojoj mjeri Umjetna inteligencija može postati alat za sigurnosnu reviziju sa stvarnim uticajem: od tih 22 ranjivosti, Mozilla je kategorizirala 14 slučajeva kao visokoozbiljne. i već su ispravljeni u Firefox 148, verziju koja se trenutno distribuira korisnicima u EU i ostatku svijeta.
Vještačka inteligencija kao sigurnosni revizor: šta se promijenilo sa Claude Opus 4.6
Kao što su obje organizacije detaljno navele, Testovi su provedeni tokom otprilike dvije sedmice intenzivnog rada, u kojem se Claude posvetio pregledu različitih dijelova Firefox koda. Preglednik, kojim upravlja Mozilla A s obzirom na snažno prisustvo u evropskim zemljama koje su zabrinute za privatnost i otvorene standarde, odabran je upravo zato što se smatra jedan od najanaliziranijih i najrobustnijih projekata otvorenog koda u ekosistemu.
Anthropic-ov model suočio se s izazovom koji obično pada na elitne ljudske timove: preispitivanje hiljade kodnih datoteka, uključujući skoro 6.000 C++ datoteka, u potrazi za anomalnim ponašanjima. Rezultat je bio niz 112 jedinstvenih izvještaja poslanih Mozillinom sistemu za praćenje grešaka, uključujući 22 propusta koji su na kraju registrovani kao sigurnosne ranjivosti sa odgovarajućim CVE identifikatorom.
Da bi ove brojke stavili u kontekst, Mozillini inženjeri su napomenuli da Tokom 2025. godine zakrpili su 73 ranjivosti visokog stepena ozbiljnosti ili kritične ranjivosti.Drugim riječima, za par sedmica Claude je pomogao u otkrivanju otprilike jedne petine ozbiljnih nedostataka koji se obično pojavljuju tokom cijele godine.Ovo daje prilično jasnu predstavu o skoku u brzini koji vještačka inteligencija može donijeti u oblast sajber sigurnosti.
Pored sigurnosnih problema, Anthropicov sistem je identifikovao skoro 90 dodatnih, manje značajnih grešakaTo je uključivalo logičke ili asertivne greške koje su uticale na stabilnost preglednika i korisničko iskustvo. Iako nisu kritične, ove nalaze su također pomogle u poboljšanju ukupnih performansi Firefoxa.
Jedan od ključeva uspjeha bio je način na koji su podaci obrađeni: Anthropic je započeo pokušajem reprodukovanja istorijskih ranjivosti Firefoxa. kako bi testirali da li je Claude u stanju prepoznati stvarne obrasce dokumentiranih neuspjeha. Nakon toga, tim je prešao na zaista zanimljiv dio: zamolili su ga da pronađe Nove greške u trenutnoj verziji preglednika, što nikada ranije nije bilo prijavljeno.
Kako je Claude pronašao prvu bubu za samo 20 minuta
Početak eksperimenta ostavio je više od jedne osobe u tehničkim timovima bez teksta. Samo dvadeset minuta nakon pokretanja analize Firefox JavaScript mehanizmaClaude Opus 4.6 je označio ono što se činilo kao ozbiljna ranjivost. Nakon relevantnih provjera, istraživači su potvrdili da se zaista radi o... Koristiti nakon greške tipa Free, vrsta memorijske greške koja, ako se pravilno iskoristi, može omogućiti napadaču da ubrizga zlonamjerni kod ili ošteti interne podatke preglednika.
Kako bi provjerili nalaz, antropolozi su proveli testni slučaj na virtuelna mašina sa najnovijom verzijom FirefoxaNakon reprodukcije anomalnog ponašanja, problem je pažljivo dokumentiran i upućen Bugzilla, Mozillin službeni sistem za praćenje grešaka, zajedno s prijedlogom zakrpe koji je generirao sam model i koji su pregledali ljudski inženjeri.
Najupečatljivije je to što su, dok su detalji ovog prvog izvještaja bili finalizirani, Claude je već otkrio još pedesetak unosa sa sumnjivim ponašanjemOvaj obim otkrića u tako kratkom vremenu bio bi praktično nedostižan za ljudski tim koji radi sam, što objašnjava zašto je saradnja privukla toliku pažnju u sigurnosnoj zajednici.
Sa strane Mozille, sigurnosni zvaničnici su naznačili da Izvještaji su stizali uz minimalne, pravilno izolovane testne slučajeve.Drugim riječima, vrlo mali isječci koda koji su omogućavali direktno aktiviranje greške. Ovaj način rada radikalno smanjuje vrijeme koje je inženjerima potrebno za validaciju svake greške, fazu koja se često usporava kada su izvještaji neprecizni ili ih je teško reproducirati.
Kako su dani prolazili, opseg analize se proširio sa JavaScript engine-a na ostali dijelovi kodne baze preglednikaOdržavanje iste strategije: lociranje potencijalno opasnih obrazaca, generiranje specifičnog testnog slučaja i provjera da li je zaista postojao sigurnosni utjecaj. Od više od stotinu problema koje je Claude identificirao, Mozilla je na kraju potvrdila 22 sigurnosne ranjivosti, od kojih je 14 visokoozbiljnih., koji su prikupljeni kao CVE u njihovoj javnoj bazi podataka.
Mozillin odgovor: način odgovora na incidente i zakrpe u Firefoxu 148
Nakon prijema seta izvještaja od Anthropica, Mozilla je aktivirala protokol za odgovor na incidente da što brže klasifikuju i isprave greške. Sigurnosni i razvojni timovi su pokrenuli proces trijaže kako bi odvojili ranjivosti visokog stepena ozbiljnosti, umjereni problemi i manje greškeuvijek uzimajući u obzir potencijalni utjecaj na stotine miliona korisnika u Evropi i ostatku svijeta.
Inženjeri fondacije su naglasili da Tehnički kvalitet izvještaja je napravio razlikuSvaka ranjivost je bila popraćena jasnim dokazom koncepta, detaljnom dokumentacijom, a u mnogim slučajevima čak i kandidatske zakrpe koje generira sama umjetna inteligencijaOvo je omogućilo da se veliki dio ispravki pripremi za nekoliko dana i da se na vrijeme integriše u ciklus objavljivanja. Firefox 148.0, objavljeno krajem februara.
Pogođene ranjivosti različite interne komponente preglednikaOd upravljanja memorijom i ograničenja pristupa do internih sigurnosnih kontrola, Mozilla je ojačala nekoliko slojeva zaštite za korisnike kada posjećuju potencijalno zlonamjerne web stranice ili učitavaju sadržaj trećih strana. Ovo je posebno važno u Evropskoj uniji, gdje propisi o zaštiti podataka i kibernetičkoj sigurnosti postaju sve stroži.
Organizacija je potvrdila da Sve sigurnosne ranjivosti koje je Claude otkrio ispravljene su u Firefoxu 148.i da će preostale manje greške biti ispravljene u kasnijim verzijama. Za korisnike to znači da sve što trebate učiniti je održavajte pretraživač ažuriranim da imaju koristi od poboljšanja uvedenih kao rezultat ove saradnje.
Pored brojki, Mozilla je naglasila da je slučaj poslužio i za prilagođavanje internih procedura: Integracija analitike potpomognute umjetnom inteligencijom postat će dio njihove sigurnosne strategije.uvijek pod ljudskim nadzorom i unutar odgovornih procesa otkrivanja ranjivosti.
Može li vještačka inteligencija ne samo pronaći, već i iskoristiti ranjivosti?
Nakon što su prevazišli fazu detekcije, Anthropic je želio saznati Koliko daleko mogu ići modeli umjetne inteligencije u ofanzivnim zadacima kibernetičke sigurnostiDrugim riječima: ako je Claude bio u stanju locirati ranjivosti, da li bi ih mogao pretvoriti i u funkcionalne ranjivosti koje oponašaju ponašanje pravog napadača?
Da bi odgovorili na ovo pitanje, tim je uzeo nekoliko ranjivosti koje je Mozilla već potvrdila i zatražio od modela da razvije testovi iskorištavanja sposobni za čitanje i pisanje lokalnih datoteka U objektivnom sistemu, tipična akcija uspješne obaveze. Eksperiment nije bio jeftin: Izvršeno je nekoliko stotina izvršenja i potrošeno je približno 4.000 dolara na API kredite..
Međutim, rezultati su ublažili početni entuzijazam. Iako je Claude pokazao sposobnost razumijevanja konteksta ranjivosti, Uspio je generirati funkcionalne exploite samo u dva specifična slučaja.Čak i tada, pod vrlo kontroliranim uvjetima. Napadi Radili su samo u testnim okruženjima sa onemogućenim sigurnosnim mjerama., kao što su sandbox i drugi slojevi za ojačavanje koje Firefox koristi u stvarnim instalacijama.
Mozilla je podsjetila sve da Kompromitovanje modernog preglednika obično zahtijeva povezivanje nekoliko ranjivosti. i zaobići različite sigurnosne barijere. Lociranje određene greške, čak i one koja se smatra vrlo ozbiljnom, nije samo po sebi dovoljno da se preuzme kontrola nad sistemom. Ova tačka je posebno relevantna za one koji se boje da će vještačka inteligencija automatski pretvoriti bilo koju manu u napad spreman za upotrebu.
Anthropic je, sa svoje strane, zauzeo oprezan stav: Trenutna vještačka inteligencija je očigledno bolja u pronalaženju grešaka nego u njihovom iskorištavanju.A trošak razvoja funkcionalnog exploita ostaje mnogo veći od troška otkrivanja ranjivosti. Uprkos tome, kompanija je priznala da je sama činjenica da je model uspio kreirati jednostavne exploite već razlog za zabrinutost i da je preporučljivo predvidjeti potencijalne zlonamjerne upotrebe jačanjem odbrane što je prije moguće.
Uloga otvorenog koda i njegov uticaj u Evropi
Slučaj Firefoxa dobro ilustruje kako Softver otvorenog koda igra ključnu ulogu u digitalnoj infrastrukturi koriste evropski građani. Preglednici poput Firefoxa ne samo da omogućavaju pristup webu, već služe i kao platforma za online javne usluge, bankarstvo, e-upravu i poslovne alate koji djeluju u skladu s regulatornim okvirima EU kao što su Uredba o kibernetičkoj otpornosti ili GDPR.
Da je model umjetne inteligencije uspio otkriti značajni nedostaci u tako detaljno ispitanom projektu Ovo pokazuje da uvijek postoje praznine koje treba popuniti, čak i kada se čini da su „hiljade očiju uprte u nas“. Za mnoge zajednice slobodnog softvera, uključujući i one koje su prisutne u Španiji i drugim evropskim zemljama, mogućnost uključivanja alata poput Claudea mogla bi značiti značajno poboljšanje u ranom otkrivanju grešakaposebno u projektima sa ograničenim resursima.
Međutim, to nisu sve automatske prednosti. Posljednjih godina, nekoliko projekata otvorenog koda se žalilo na talasi izvještaja generiranih umjetnom inteligencijom s visokim postotkom lažno pozitivnih rezultatakoji oduzimaju mnogo vremena i ne dodaju stvarnu vrijednost. Razlika u radu Anthropica bila je u metodologiji: oni su dali prioritet slanju dobro obrazloženi izvještaji, s minimalnim brojem testnih slučajeva i potencijalnih zakrpa, umjesto preplavljivanja Mozille generičkim upozorenjima.
Ovaj pristup se uklapa u način na koji EU pokušava regulirati umjetnu inteligenciju: promoviranje upotreba koje pružaju jasne koristi — kao što je poboljšanje sigurnosti kritične infrastrukture — uz praćenje potencijalne upotrebe ovih alata za ofanzivne ili zloupotrebljavajuće aktivnosti. Iako je saradnja bila globalna, evropski korisnici Firefoxa su direktno imali koristi od uvođenja ovih zakrpa u verziji preglednika 148.
U međuvremenu, Anthropic je naznačio da želi nastaviti rad na relevantnim projektima unutar ekosistema otvorenog kodauključujući ključne komponente kao što je Linux kernel. Za evropski tehnološki sektor, gdje se mnoge kompanije i javne uprave oslanjaju na rješenja otvorenog koda, ovaj smjer rada otvara vrata dubljim i pristupačnijim sigurnosnim revizijama nego što je to ranije bilo moguće.
Šta timovi za proizvode i sigurnost mogu izvući iz svega ovoga?
Ono što se dogodilo s Firefoxom nije zanimljivo samo tehnološkim gigantima ili glavnim Linux distribucijama. To također nudi nekoliko praktičnih lekcija za... razvojni timovi u Španiji i Evropi koji grade digitalne usluge, web aplikacije ili SaaS rješenja s ogromnim dosegom.
Prvi je prilično jednostavan: Troškovi početne revizije uz pomoć vještačke inteligencije dramatično su pali.Ono što je ranije zahtijevalo sedmice rada tima stručnjaka sada može imati početni automatizirani pregled za djelić cijene, pod uslovom da je dopunjen ljudskim pregledom. U projektima koji se pripremaju za sigurnosne certifikate ili za usklađivanje s evropskim propisima, ovo može napraviti veliku razliku.
Drugo se odnosi na interne procese: Brzina detekcije počinje da nadmašuje ljudske mogućnosti korekcije.Ako je alat poput Claudea sposoban generirati desetine izvještaja za nekoliko dana, ključ više nije u pronalaženju grešaka, već u agilnim mehanizmima za njihovo prioritiziranje i krpljenje bez blokiranja razvoja proizvoda.
Treće, iskustvo s Mozillom pokazuje da Nije dovoljno povezati vještačku inteligenciju sa repozitorijem i prihvatiti sve njene zakrpeNeophodno je imati ono što Anthropic naziva "verifikatorima zadataka": automatizovane testove koji potvrđuju da je ranjivost uklonjena i da promjena ne narušava druge dijelove sistema. Bez ovog sloja, rizik od uvođenja regresija značajno se povećava.
Konačno, važno je ne izgubiti iz vida ofanzivnu dimenziju. Iako, kako stvari stoje danas Modeli umjetne inteligencije su bolji u pronalaženju grešaka nego u njihovom iskorištavanju.Ovaj jaz bi se mogao smanjiti u narednim godinama. Za evropske kompanije i javne uprave, prevazilaženje ovog scenarija znači integraciju ovih alata u njihovu odbranu prije nego što manje savjesni napadači steknu prednost.
Sveukupno, saradnja između Anthropica i Mozille sa Claude Opus 4.6 kao protagonist To stvara sliku u kojoj se vještačka inteligencija konsoliduje kao nova vrsta sigurnosnog revizora: sposobna da za nekoliko dana pregleda ono što je ranije trajalo mjesecima, da pronađe ozbiljne ranjivosti u projektima poput Firefoxa i da podstakne razvojne timove - također u Španiji i ostatku Evrope - da modernizuju svoje procese zaštite i odgovora na kritične kvarove.
