SG.hu·
Mozilla: Az Anthropic Mythos nevű MI-modellje 271 biztonsági rést talált a Firefox 150-ben
A Mozilla szerint az Anthropic által fejlesztett új MI modell, a Mythos már most jelentős hatással lehet a kiberbiztonság világára, közlésük szerint a rendszer 271 biztonsági sebezhetőséget azonosított a Firefox 150 kiadásában. A cég technológiai igazgatója szerint az új modell képességei elérik a világ legjobb biztonsági kutatóinak szintjét.
A hónap elején az Anthropic bejelentette, hogy a Mythos nevű modelljük olyan hatékony a kiberbiztonsági hibák felderítésében, hogy az első körben csak egy szűk, kritikus iparági partnerekből álló csoport számára teszik elérhetővé. Azóta élénk vita bontakozott ki arról, hogy ez a fejlesztés egy új korszak kezdetét jelenti-e, amelyben az MI által támogatott hackelés drámai módon felgyorsul, vagy csupán egy természetes fejlődési lépcsőt látunk az egyre fejlettebb MI rendszerek sorában. A Mozilla friss blogbejegyzése fontos új adatokkal járult hozzá ehhez a vitához. A vállalat szerint a Mythos Preview korai hozzáférése lehetővé tette számukra, hogy előre azonosítsanak 271 biztonsági hibát a Firefox legfrissebb verziójában.
Az eredmények annyira jelentősek voltak, hogy a Firefox technológiai igazgatója, Bobby Holley úgy fogalmazott, hogy a kiberbiztonsági támadók és védők közötti véget nem érő küzdelemben "a védők végre esélyt kapnak arra, hogy döntő módon győzzenek". Holley nem részletezte, hogy a felfedezett több száz sebezhetőség milyen súlyosságú volt, de összehasonlításként megjegyezte, hogy az Anthropic korábbi modellje, az Opus 4.6 egy hónappal korábban mindössze 22 biztonsági szempontból releváns hibát talált a Firefox 148 elemzése során.
A Mythos által azonosított hibákat elméletileg hagyományos módszerekkel is fel lehetett volna fedezni, például automatizált fuzzing technikákkal vagy egy kiemelkedő képességű biztonsági kutató alapos elemző munkájával, aki végigvizsgálja a böngésző összetett forráskódját. Holley azonban rámutatott, hogy a Mythos használata számos esetben kiküszöbölte azt a szükségességet, hogy "hónapokig tartó, költséges emberi munkával találjanak meg egyetlen hibát". Az ilyen hatékony hibafeltárás révén az MI eszközök, mint a Mythos, a kiberbiztonsági egyensúlyt a védekező felek irányába billenthetik, hiszen a sebezhetőségek felfedezése mindkét oldalon olcsóbbá válik. "A számítógépek néhány hónappal ezelőtt még teljesen képtelenek voltak erre, most viszont kiválóan teljesítenek benne" - mondta Holley.
Holley szerint az MI által támogatott sebezhetőség-elemzés a jövőben elkerülhetetlenné válik. Véleménye szerint "minden egyes szoftvernek alkalmaznia kell majd ezt a megközelítést, mert minden szoftverben rengeteg, a felszín alatt rejtőző hiba található, amelyek most már felfedezhetők". Bár elképzelhető, hogy a jövőben még fejlettebb modellek további hibákat is feltárnak majd, amelyek a jelenlegi rendszerek számára még rejtve maradnak, Holley úgy véli, hogy a Firefox esetében már sikerült jelentős előnyre szert tenniük ezen a területen. Az MI-alapú védekezési megközelítés különösen fontos lehet a nyílt forráskódú projektek számára, amelyek a modern internet jelentős részének alapját képezik. Ezek a rendszerek egyrészt könnyebben vizsgálhatók az MI számára a nyilvános kódbázisok miatt, másrészt gyakran alulfinanszírozott, önkéntes alapú karbantartásra támaszkodnak a biztonság fenntartásában.
A Mozilla másik technológiai vezetője, Raffi Krikorian arra hívta fel a figyelmet, hogy eddig a hibák felderítésének nehézsége és a komplex szoftverek fejlesztésének kihívásai egyfajta egyensúlyt teremtettek a kiberfenyegetések világában. A Mythos azonban ezt az egyensúlyt felboríthatja. Mint írta, "az a programozó, aki húsz évet szentelt annak, hogy karbantartsa azt a nyílt forráskódot, amely milliárdok által használt termékekben fut, még nem fér hozzá a Mythoshoz. Pedig hozzá kellene férnie".
A hónap elején az Anthropic bejelentette, hogy a Mythos nevű modelljük olyan hatékony a kiberbiztonsági hibák felderítésében, hogy az első körben csak egy szűk, kritikus iparági partnerekből álló csoport számára teszik elérhetővé. Azóta élénk vita bontakozott ki arról, hogy ez a fejlesztés egy új korszak kezdetét jelenti-e, amelyben az MI által támogatott hackelés drámai módon felgyorsul, vagy csupán egy természetes fejlődési lépcsőt látunk az egyre fejlettebb MI rendszerek sorában. A Mozilla friss blogbejegyzése fontos új adatokkal járult hozzá ehhez a vitához. A vállalat szerint a Mythos Preview korai hozzáférése lehetővé tette számukra, hogy előre azonosítsanak 271 biztonsági hibát a Firefox legfrissebb verziójában.
Az eredmények annyira jelentősek voltak, hogy a Firefox technológiai igazgatója, Bobby Holley úgy fogalmazott, hogy a kiberbiztonsági támadók és védők közötti véget nem érő küzdelemben "a védők végre esélyt kapnak arra, hogy döntő módon győzzenek". Holley nem részletezte, hogy a felfedezett több száz sebezhetőség milyen súlyosságú volt, de összehasonlításként megjegyezte, hogy az Anthropic korábbi modellje, az Opus 4.6 egy hónappal korábban mindössze 22 biztonsági szempontból releváns hibát talált a Firefox 148 elemzése során.
A Mythos által azonosított hibákat elméletileg hagyományos módszerekkel is fel lehetett volna fedezni, például automatizált fuzzing technikákkal vagy egy kiemelkedő képességű biztonsági kutató alapos elemző munkájával, aki végigvizsgálja a böngésző összetett forráskódját. Holley azonban rámutatott, hogy a Mythos használata számos esetben kiküszöbölte azt a szükségességet, hogy "hónapokig tartó, költséges emberi munkával találjanak meg egyetlen hibát". Az ilyen hatékony hibafeltárás révén az MI eszközök, mint a Mythos, a kiberbiztonsági egyensúlyt a védekező felek irányába billenthetik, hiszen a sebezhetőségek felfedezése mindkét oldalon olcsóbbá válik. "A számítógépek néhány hónappal ezelőtt még teljesen képtelenek voltak erre, most viszont kiválóan teljesítenek benne" - mondta Holley.
Holley szerint az MI által támogatott sebezhetőség-elemzés a jövőben elkerülhetetlenné válik. Véleménye szerint "minden egyes szoftvernek alkalmaznia kell majd ezt a megközelítést, mert minden szoftverben rengeteg, a felszín alatt rejtőző hiba található, amelyek most már felfedezhetők". Bár elképzelhető, hogy a jövőben még fejlettebb modellek további hibákat is feltárnak majd, amelyek a jelenlegi rendszerek számára még rejtve maradnak, Holley úgy véli, hogy a Firefox esetében már sikerült jelentős előnyre szert tenniük ezen a területen. Az MI-alapú védekezési megközelítés különösen fontos lehet a nyílt forráskódú projektek számára, amelyek a modern internet jelentős részének alapját képezik. Ezek a rendszerek egyrészt könnyebben vizsgálhatók az MI számára a nyilvános kódbázisok miatt, másrészt gyakran alulfinanszírozott, önkéntes alapú karbantartásra támaszkodnak a biztonság fenntartásában.
A Mozilla másik technológiai vezetője, Raffi Krikorian arra hívta fel a figyelmet, hogy eddig a hibák felderítésének nehézsége és a komplex szoftverek fejlesztésének kihívásai egyfajta egyensúlyt teremtettek a kiberfenyegetések világában. A Mythos azonban ezt az egyensúlyt felboríthatja. Mint írta, "az a programozó, aki húsz évet szentelt annak, hogy karbantartsa azt a nyílt forráskódot, amely milliárdok által használt termékekben fut, még nem fér hozzá a Mythoshoz. Pedig hozzá kellene férnie".