Az AI segít a Firefoxnak 271 biztonsági hiba kijavításában, 27 éves hiányosságokat is talál
Az internetnek van egy piszkos titka: a szoftverek, amelyeket mindennap használunk, tele vannak régi hibákkal, amelyeket soha senki nem talált meg. Nem azért, mert senki nem kereste, hanem mert a megtalálásuk olyan szintű emberi szakértelmet igényelt, amely annyira ritka és drága volt, hogy a legtöbb támadó sem engedhette meg magának. De ez megváltozott a Claude Mythos-szal. Az ezen a héten megjelent Firefox 150 271 sérülékenységet javít, amelyeket az Anthropic Claude Mythos Preview-jával találtak meg. Ez egy erőteljes új AI modell, amelyet az Anthropic csendben egy kis csoportnyi vállalatnak adott ki, hogy a rosszfiúk előtt felkutassák a biztonsági hibákat. A projekt neve Project Glasswing, és lényegében egy összehangolt verseny az internet javítására, mielőtt az AI-alapú hackelés olcsóvá és hozzáférhetővé válna.
- Ezernyi zero-day sérülékenységet (a szoftver saját fejlesztői számára is ismeretlen hibákat) talált minden nagyobb operációs rendszerben és böngészőben.
- Felfedezett egy 27 éves hibát az OpenBSD-ben, egy olyan rendszerben, amelyet kifejezetten úgy terveztek, hogy nehéz legyen feltörni.
- Talált egy 16 éves hiányosságot az FFmpeg-ben, egy videóeszközben, amelyet az automatizált szkennerek ötmillió alkalommal ellenőriztek anélkül, hogy bármit jeleztek volna.
- Kifejlesztett egy böngésző exploitot, amely négy sérülékenységet láncolt össze, hogy kilépjen mind a böngésző sandboxból, mind magából az operációs rendszerből.
- 90-szer jobban teljesített, mint az Anthropic korábbi legjobb modellje a működő Firefox sérülékenységek elleni exploitok írásában.
A Mythos-t nem kifejezetten hackelésre képezték. Ezek a képességek mellékhatásként jelentkeztek, amikor a modell kódolási képességeit fejlesztették. Az Anthropic saját csapata egyértelműen kijelentette, hogy ugyanazok a fejlesztések, amelyek jobbá teszik a modellt a sérülékenységek javításában, jobbá teszik azokat a kihasználásban is. Pontosan ezért nem adja ki az Anthropic a nyilvánosság számára. A Firefox CTO-ja egyszerűen fogalmazott: minden szoftvernek át kell esnie ezen a típusú biztonsági felülvizsgálaton, mert a korábban túl nehezen megtalálható hibákat mostantól bárki felfedezheti, aki hozzáfér egy ilyen modellhez. Az ablak, ami a támadók hasonló eszközökhöz való hozzáférése előtt áll, hónapokban mérhető, nem években. A Project Glasswing az iparág kísérlete arra, hogy bölcsen használja ki ezt az ablakot. ---