Probijanje umjetna inteligencija kao alat za kibernetičku sigurnost Mozilla je upravo napravila značajan korak naprijed saradnjom između Mozille i Anthropic-a na Firefoxu. Za samo nekoliko sedmica, model umjetne inteligencije uspio je locirati niz ranjivosti u Mozillinom pregledniku otvorenog koda koje bi inače zahtijevale mjesece specijaliziranog ljudskog rada.
Ovaj eksperiment, s direktnim utjecajem na Korisnici Firefoxa u Španiji i ostatku EvropePoslužio je za mjerenje koliko daleko jezički modeli danas mogu ići kada je u pitanju revizija stvarnog koda i kakvu ulogu mogu igrati u zaštiti softvera koji svakodnevno koriste stotine miliona ljudi.
Kada vještačka inteligencija postane najbolji sigurnosni revizor
U sigurnosti softvera, lociranje ranjivosti prije napadača je ključno: to može značiti razliku između zaštititi milione korisnika ili otkriti njihove podatkeU tom kontekstu, Mozilla je testirala neobičan pristup: omogućava naprednoj umjetnoj inteligenciji da pregleda izvorni kod svog preglednika kako bi pronašla ranjivosti prije nego što to učine istraživači ili cyberkriminalci.
Nekoliko sedmica prije lansiranja Firefox 148Sigurnosni tim preglednika primio je zapanjujući izvještaj: Crveni tim Antropske granice —interna ofanzivna istraživačka grupa kompanije — tvrdila je da je, uz pomoć svog Claudeovog modela, otkrila, više od desetak provjerljivih sigurnosnih grešaka u Firefoxovom JavaScript mehanizmu. To nisu bile samo sumnje, već greške potkrijepljene konkretnim dokazima.
Ono što ga je razlikovalo od drugih pokušaja korištenja umjetne inteligencije u ovom području bio je kvalitet izvještavanja. Svaka ranjivost je bila potkrijepljena minimalno reproducibilni testni slučajeviTo su bili mali isječci koda sposobni deterministički aktivirati ranjivost. To je omogućilo Mozillinim inženjerima da u roku od nekoliko sati provjere da li problem zaista postoji i počnu raditi na zakrpama bez trošenja vremena na reprodukciju dvosmislenih scenarija.
U ekosistemu u kojem mnoga upozorenja generirana automatiziranim alatima završe u smeću jer su lažno pozitivni ili netačni izvještajiAnthropic-ov pristup drastično je smanjio šum i pružio koristan signal: manji obim, ali potvrđeni i primjenjivi nalazi.
Šta je Anthropicov Frontier Red Team i kako funkcioniše sa Claudeom?
Poziv Crveni tim Frontier To je Anthropicova jedinica posvećena istraživanju granica svojih AI modela u ofanzivnoj i defanzivnoj sigurnosti. Njen cilj nije samo procjena internih rizika unutar modela, već i istraživanje Kako se vještačka inteligencija može koristiti za pronalaženje ranjivosti u stvarnom softveru? prije nego što to učine zlonamjerni akteri.
U posljednjih nekoliko mjeseci, ovaj tim je pokazao da modeli poput Claude Opus 4.6 može da trči višefazni napadi na složene mreže u kontroliranim okruženjimaOvo daje predstavu o njihovim analitičkim sposobnostima. Ista ta moć je preusmjerena, na koordiniran i odgovoran način, na pregled projekata otvorenog koda poput Firefoxa u okviru odgovornih procesa otkrivanja ranjivosti.
U konkretnom slučaju Mozilla preglednika, Anthropic je započeo s vježbom testiranja: koristeći Claudea da reproducirati historijske ranjivosti Firefoxa (CVE)Provjerili smo da li model može prepoznati obrasce grešaka koji su već dokumentovani u starijim verzijama koda. Rezultat je bio pozitivan, iako uz jednu jasnu napomenu: neke od tih informacija mogle bi se nalaziti u podacima za obuku modela.
Da bi otišli dalje, Frontier Red Team je prešao na zanimljiv dio: tražeći od umjetne inteligencije da locira nove ranjivosti u trenutnoj verziji FirefoxaTo jest, greške koje još nisu bile navedene ni u jednoj javnoj bazi podataka ili u Mozillinim internim sistemima za praćenje.
Kako su otkrivene ranjivosti u Firefoxovom JavaScript engine-u
Početna tačka bio je JavaScript mehanizam preglednika, ključna komponenta jer je odgovorna za izvršavanje nepouzdanog eksternog koda sa web stranicaBilo koja greška u ovom sloju može, u najgorem slučaju, postati ulazna tačka za napad na korisnikov sistem.
Kao što su Anthropic i Mozilla objasnili, Claude je pronašao svoju prvu kritičnu ranjivost za otprilike dvadeset minuta. od početka analize. Bio je to neuspjeh tipa upotreba nakon-besplatna, kategorija memorijske ranjivosti koja može omogućiti napadaču da prepiše podatke proizvoljnim sadržajem ako je povezana s drugim sistemskim slabostima.
Dok su inženjeri kompanije Anthropic validirali ovo početno upozorenje u virtuelnoj mašini sa najnovijom verzijom pretraživača, vještačka inteligencija je nastavila da radi paralelno. Za to vrijeme, model je već prijavio otprilike 50 dodatnih ulaza s anomalnim ponašanjemMnogi od njih su kasnije pretvoreni u testne slučajeve koji su poslani Mozilli.
Proces nije bio ograničen samo na JavaScript engine. Tokom otprilike dvije sedmice, Claude je analizirao skoro 6.000 C++ datoteka i hiljade dodatnih projektnih datotekageneriranje 112 jedinstvenih izvještaja. Iz tog skupa, nakon trijaže od strane sigurnosnog tima Mozille, potvrđeno je sljedeće 22 ranjivosti registrovane kao CVE, od kojeg 14 je klasifikovano kao visokoozbiljno, pored skoro 90 dodatnih kvarova za koje se smatra da imaju manji uticaj ili su samo logičke greške.
Svi identifikovani sigurnosni problemi su ispravljeni u razvojnom ciklusu Firefoxa 148.Ova verzija je sada dostupna korisnicima u Evropi i ostatku svijeta. Greške nižeg prioriteta su također ispravljene, iako su neke prilagodbe rezervirane za kasnije verzije kako bi se izbjeglo uvođenje previše promjena u jednom izdanju.
Otkriveno više od 100 grešaka i manje lažno pozitivnih rezultata nego kod drugih vještačkih inteligencija
Tokom ove saradnje, Claudeova analiza je donijela Više od 100 različitih Firefox grešakaIako se nisu sve pokazale kao iskorištavajuće ranjivosti, količina ilustruje da čak i zreli i revidirani projekti poput Mozilla preglednika i dalje mogu skrivati značajan broj grešaka.
Da bi stekli predstavu o uticaju, Mozillin sigurnosni tim je objasnio da je, u samo ove dvije sedmice testiranja, vještačka inteligencija bila u stanju da Identifikujte određeni broj propusta visoke ozbiljnosti, ekvivalentnih približno 20% svih kritičnih ranjivosti zakrpljenih u pregledniku tokom godine.Drugim riječima, revizija potpomognuta umjetnom inteligencijom koncentrirala se na nekoliko dana, zadatak koji se obično raspoređuje na mnogo mjeseci.
Ključni aspekt bila je stopa lažno pozitivnih rezultata. Mnogi projekti otvorenog koda, uključujući i one u Evropi, dobili su lažno pozitivne rezultate posljednjih godina. talasi izvještaja generisanih nekvalitetnim alatima umjetne inteligencijeOve prijave često podnose korisnici koji traže nagrade kroz programe za otkrivanje grešaka. Oni preplavljuju održavatelje nepostojećim ili loše opisanim problemima.
Mozilla, svjesna ove situacije, u početku je bila oprezna u vezi sa saradnjom. Međutim, pristup Frontier Red tima pokazao se drugačijim: Samo one presude uz koje su bili priloženi čvrsti dokazi podnesene su na preispitivanje., s jasnim automatskim reprodukcijama i, u nekim slučajevima, prijedlozima kandidata za zakrpe koje generira sama umjetna inteligencija i koje pregledaju ljudi.
Mozillini inženjeri su istakli tri elementa koja smatraju ključnim za pouzdanost izvještaja zasnovanih na vještačkoj inteligenciji: minimalni broj testnih slučajeva, detaljni dokazi koncepta i predložene zakrpeOva kombinacija drastično smanjuje vrijeme potrebno za potvrdu da li nalaz zaslužuje hitnu pažnju ili se može odgoditi.
Može li vještačka inteligencija iskoristiti ranjivosti koje otkrije?
Jedna od najdelikatnijih tačaka eksperimenta bila je otkriti da li je Claude sposoban ne samo za pronaći ranjivostiali i da ih pretvori u funkcionalni iskorištavanjaTo jest, u napadima koji su sposobni izvršiti zlonamjerne radnje na ciljnom sistemu.
Anthropic je odlučio izmjeriti ovu sposobnost u kontroliranom okruženju. Tim je modelu pružio informacije o ranjivostima koje su već prijavljene Mozilli i zatražio od njega da generira exploit kod s ciljem... čitanje i pisanje u lokalnoj datoteci u testnoj mašini, radnja koja bi u stvarnom scenariju predstavljala ozbiljnu kompromitaciju sistema.
Da bi se to postiglo, izvršeno je nekoliko stotina odvojenih pogubljenja i uloženo je oko [nedostaje iznos]. 4.000 dolara u API kreditimaRezultat je bio nijansiran: Claude je uspio proizvesti samo Dva jednostavna iskorištavanja koja bi mogla funkcioniratiI to samo u okruženju u kojem je nekoliko zaštita prisutnih u modernim preglednicima, poput sandboxa i drugih zaštitnih mjera, namjerno onemogućeno.
Mozilla naglašava da, u stvarnim uslovima, kompromitovanje Firefoxa obično zahteva povezivanje više ranjivosti i zaobilaženje više slojeva odbranePronalaženje jedne ranjivosti, čak i one visokog stepena ozbiljnosti, rijetko je dovoljno da se preuzme kontrola nad korisničkim sistemom, što trenutno ograničava direktni ofanzivni potencijal ovih alata.
Uprkos tome, Anthropic smatra značajnim da je jezički model sposoban, čak i ako je to samo u nekoliko slučajeva i pod smanjenim uslovima, za automatski generira exploit za moderni preglednikKompanija upozorava da bi se ovaj jaz - razlika između otkrivanja i iskorištavanja - mogao smanjiti kako se modeli i metode procjene budu nastavljali poboljšavati.
Mozilla integrira umjetnu inteligenciju u svoje sigurnosne protokole
Nakon uspjeha saradnje, Mozilla je potvrdila da će integrirati analizu potpomognutu umjetnom inteligencijom u svoj redovni sigurnosni tijek rada. za Firefox. Timovi fondacije su već započeli interno eksperimentiranje s Claudeom za trijažu grešaka, pregled zakrpa i otkrivanje obrazaca ranjivosti u kritičnim područjima koda.
Organizacija, sa snažnim prisustvom korisnika i programera u Evropi, vidi ovu tehnologiju kao način da ojačati zaštitu privatnosti i sigurnostiOvo su stubovi koji čine dio identiteta Firefox projekta. Kao preglednik otvorenog koda, njegova kodna baza dostupna je za reviziju i nezavisnim istraživačima i automatiziranim agentima, poput Anthropicove vlastite umjetne inteligencije.
Za Mozillu, ključno će biti održavanje ravnoteža između automatizacije i ljudske provjereIako modeli umjetne inteligencije mogu ubrzati otkrivanje grešaka i predložiti ispravke, fondacija insistira na tome da svaka zakrpa - bilo da je od osobe ili mašine - mora proći isti nivo tehničke provjere prije nego što se integrira u preglednik koji koriste građani Evrope i ostatka svijeta.
Ovo iskustvo je također pružilo praktičan vodič za druge softverske projekte, uključujući one razvijene u Španiji ili unutar Evropske unije: ako se žele prihvatiti izvještaji zasnovani na vještačkoj inteligenciji, preporučljivo je zahtijevati jasan dokaz reproducibilnosti i uspostaviti posebne kanale za ovu vrstu otkrivanja, izbjegavajući preopterećenje tradicionalnih sistema za praćenje grešaka.
Lekcije za developere i tehnološke kompanije u Evropi
Pored medijske pomame koja okružuje Firefox, saradnja između Anthropica i Mozille donosi niz relevantnih zaključaka za startupovi, tehnološka mala i srednja preduzeća i velike evropske kompanije koji razvijaju vlastiti softver ili digitalne usluge.
Jedan od najjasnijih je da Revizija koda potpomognuta vještačkom inteligencijom postala je ekonomski isplativaOno što je ranije zahtijevalo tim stručnjaka koji su radili sedmicama, sada može imati početni automatizirani pregled za nekoliko sati ili dana, po mnogo nižoj cijeni od temeljitog ručnog pregleda.
Druga lekcija je da Brzina detekcije počinje da nadmašuje ljudske mogućnosti korekcijeAlati poput Claudea mogu brzo pronaći desetine potencijalnih ranjivosti, ali usko grlo postaje sposobnost internih timova da validiraju, odrede prioritete i zakrpe te probleme bez narušavanja drugih dijelova sistema.
Također je jasno da Otvoreni kod nije sinonim za zagarantovanu sigurnostMeđutim, nudi jednu značajnu prednost: transparentnost. Projekti poput Firefoxa, veoma popularnih u Evropi zbog svog fokusa na privatnost, omogućavaju i zajednici i automatiziranim agentima da kontinuirano pregledavaju kod, što je nemoguće u zatvorenim rješenjima.
Za mnoge organizacije, integracija umjetne inteligencije u razvojni proces - na primjer, uključivanjem automatizirane analitike u faze CI/CD - može postati... faktor razlikovanja prilikom dokazivanja usklađenosti s propisimaOvo postaje sve relevantnije s budućom primjenom evropskih standarda o kibernetičkoj sigurnosti i kritičnom softveru.
Istovremeno, slučaj služi kao podsjetnik da napadači također imaju pristup sličnim tehnologijama. Trenutna prednost izgleda da je na strani odbrane.Vještačka inteligencija je bolja u pronalaženju i ispravljanju nedostataka nego u njihovom iskorištavanju, ali niko ne uzima zdravo za gotovo da će ta prednost trajati dugi niz godina.
U ovom scenariju, menadžeri sigurnosti u evropskim kompanijama - od banaka do platformi za e-trgovinu ili digitalnih komunalnih usluga - počinju ove alate posmatrati ne kao eksperimentalni dodatak, već kao još jedan dio njihove strategije zaštite softvera.
Debakli Firefoxa i Anthropica pokazuju kako dobro vođen i nadziran model umjetne inteligencije može djelovati kao vrhunski sigurnosni revizor: može pregledati velike baze koda, otkriti složene greške i vrlo brzo predložiti rješenja. Istovremeno, jasno stavlja do znanja da konačna odluka i dalje leži na ljudskim timovima, koji moraju odlučiti šta će zakrpiti, kako i s kojim prioritetima, u okruženju u kojem se tempo evolucije softvera i prijetnji nastavlja ubrzavati.
