Коли у квітні компанія Anthropic представила свою нову модель Mythos, вона також надіслала суворе попередження всім, хто займається розробкою програмного забезпечення. За заявами лабораторії, модель настільки ефективно виявляла вразливості у програмному забезпеченні, що знайшла тисячі критичних помилок, які потребують виправлення перед публічним релізом.
Зростання можливостей штучного інтелекту у кібербезпеці
Наразі дослідники безпеки з команди браузера Firefox від Mozilla надають детальніший огляд того, як цей процес виглядав на практиці, та що означають можливості Mythos для безпеки програмного забезпечення загалом.
У своєму нещодавньому звіті Mozilla повідомила, що Mythos виявила безліч критичних помилок, включно з деякими, що “дрімали” в коді понад десятиліття.
Еволюція інструментів пошуку помилок
Це значне покращення порівняно з можливостями інструментів безпеки на базі ШІ навіть шість місяців тому. Донедавна інструменти для пошуку помилок за допомогою ШІ мали суттєві недоліки: вони часто перевантажували команди безпеки неякісними звітами та помилковими спрацьовуваннями. Однак, дослідники Mozilla стверджують, що останні покоління цих інструментів зробили якісний стрибок, особливо завдяки появі агентних систем (систем, що можуть самостійно оцінювати свою роботу та фільтрувати нерелевантні результати).
«Важко переоцінити, наскільки динаміка для нас змінилася за кілька коротких місяців», — пишуть дослідники. «По-перше, моделі стали значно потужнішими. По-друге, ми суттєво вдосконалили наші методи використання цих моделей».
Вражаючі результати у виявленні вразливостей
Результати вражають: у квітні 2026 року Firefox виправив 423 помилки, порівняно лише з 31 роком раніше. Дослідники також опублікували деталі про 12 з цих помилок, які варіюються від незвичайних вразливостей “пісочниці” (sandbox) до 15-річної помилки у способі браузера розбирати HTML-елемент.
«Ці інструменти раптом стали надзвичайно ефективними», — зазначив Брайан Грінстед, провідний інженер Mozilla, у коментарі TechCrunch. «Ми бачимо це під час нашого внутрішнього сканування, у зовнішніх звітах про помилки та в численних сигналах по всій індустрії».
Глибокий аналіз вразливостей “пісочниці”
Особливо вражає те, що система допомогла виявити вразливості в системі “пісочниці” Firefox, враховуючи складність атаки, яка її експлуатує. Щоб знайти вразливості “пісочниці”, модель повинна написати скомпрометований патч для браузера, а потім атакувати найзахищенішу частину програмного забезпечення з новим кодом. Виявлення та демонстрація помилки — це делікатний, багатоетапний процес, що вимагає як креативності, так і уваги до деталей.
Для контексту: програма bounty від Mozilla платить дослідникам, які можуть знайти помилку в “пісочниці” Firefox, до 20 000 доларів США — це найвища доступна винагорода. Однак, незважаючи на вищу оплату, Грінстед стверджує, що Mythos знаходить більше проблем з “пісочницею”, ніж коли-небудь знаходили люди-дослідники. «Ми їх отримуємо, — сказав він TechCrunch, — але не в тому обсязі, в якому ми можемо знаходити за допомогою цієї техніки».
Роль ШІ у виправленні помилок
Важливо зазначити, що команда Firefox досі не використовує ШІ для виправлення помилок, попри добре документований прогрес у розробці інструментів кодування на базі ШІ. Команда просить ШІ написати патчі для кожної помилки, але отриманий код зазвичай не може бути розгорнутий безпосередньо. Натомість він слугує зразком для інженера-людини.
«Для помилок, про які ми говоримо в цій публікації, кожну з них виправляє один інженер, а інший переглядає», — каже Грінстед. «Ми не вважаємо це автоматизованим».
Майбутнє кібербезпеки та баланс сил
Залишається неясним, як нові можливості ШІ змінять ширший баланс сил у кібербезпеці. Через місяць після попереднього перегляду Mythos, більшість виявлених помилок, ймовірно, ще не виправлені, що ускладнює повне охоплення їхнього впливу. Anthropic дотримується норм відповідального розкриття інформації, але цілком імовірно, що зловмисники вже використовують подібні методи в тіні, навіть якщо їхні моделі не настільки досконалі.
Виступаючи на нещодавній події, генеральний директор Anthropic Даріо Амодеї висловив оптимізм, що нові інструменти зрештою віддадуть перевагу захисникам. «Якщо ми впораємося з цим правильно, ми можемо опинитися в кращій позиції, ніж були, тому що ми виправимо всі ці помилки. Існує лише обмежена кількість помилок, які можна знайти», — сказав Амодеї. «Тож я думаю, що за цим стоїть кращий світ».
Маючи справу з практичними деталями, Грінстед має більш виважений погляд: «Це корисно як для нападників, так і для захисників, але наявність інструменту трохи зміщує перевагу на бік захисту. Реалістично, відповіді на це ще ніхто не знає».
Думка ІТ-Блогу: Поява таких потужних ШІ-інструментів, як Mythos, кардинально змінює ландшафт кібербезпеки, надаючи значну перевагу захисникам у виявленні вразливостей. Проте, це також ставить нові виклики перед розробниками, які мусять адаптуватися до підвищених вимог безпеки та потенційного використання подібних технологій зловмисниками.
Джерело новини: techcrunch.com