AI odkryła rekordową liczbę podatności w Firefox. Mozilla wszystkie załatała

Comiesięczne aktualizacje Windowsa czy przeglądarek internetowych zwykle zawierają kilkanaście lub kilkadziesiąt łatek, które zamykają luki w zabezpieczeniach, zwane też podatnościami. Są to niedopatrzenia w kodzie, które pozwalają je wykorzystać (zaatakować exploitem), by przejąć kontrolę nad programem lub nawet całym systemem. Nie wszystkie z nich są znane hakerom. Te, które są wykorzystywane do ataków, zanim odkryje je producent i wypuści łatki, nazywane są podatnościami zero-day lub 0day. Bywa też tak, że oprogramowanie ma luki przez lata, a nawet dekady, nim ktokolwiek je odkryje.

Testowaniem systemów operacyjnych czy przeglądarek pod kątem możliwych podatności zajmują się specjaliści od cyberbezpieczeństwa przy użyciu specjalistycznego oprogramowania. Giganci technologiczni robią to sami, jednocześnie oferując wysokie nagrody pieniężne zewnętrznym odkrywcom - zwłaszcza za zademonstrowanie krytycznych podatności. Nie jest zaskoczeniem, że zajmuje się tym również sztuczna inteligencja.

Wydawane w ostatnich latach modele AI z mniejszą lub większą skutecznością wykrywają błędy w oprogramowaniu, które narażają je na ataki. Wśród nich wybił się jeden, bardzo szczególny - Claude Mythos. Już w pierwszych dniach po uruchomieniu odkrył on nieznane wcześniej luki niemal we wszystkich czołowych przeglądarkach i systemach, wliczając w to Linuksa, o czym szerzej informowaliśmy w Interii GeekWeek. A teraz wykrył rekordową liczbę podatności w przeglądarce Firefox, której wydawca dzięki tej wiedzy był w stanie znacząco podnieść jej bezpieczeństwo.

Dzięki pomocy sztucznej inteligencji Mozilla osiągnęła ogromny postęp w zabezpieczaniu swojej przeglądarki. Fundacja przekazała, że od lutego jej programiści pracują bez przerwy, wykorzystując czołowe modele do identyfikacji i łatania ukrytych luk w zabezpieczeniach.

Po wcześniejszym sukcesie współpracy z Anthropic przy modelu Opus 4.6, który pozwolił na naprawienie w sumie 22 błędów, zespół uzyskał dostęp do wczesnej wersji Claude Mythos Preview. Efekty tej współpracy są porażające - najnowsze wydanie Firefox 150 z 21 kwietnia zawiera poprawki dla aż 271 podatności wykrytych podczas tej wstępnej ewaluacji.

Trzeba tu jasno podkreślić, że 271 poprawek w jednej aktualizacji to absolutny i bezprecedensowy rekord w historii Firefoksa, a prawdopodobnie również w całej branży przeglądarek internetowych. Zazwyczaj jedna główna aktualizacja zawiera 10-30 poprawek bezpieczeństwa. Dzięki sztucznej inteligencji ich liczba rośnie do niebotycznych rozmiarów i najwyraźniej staje się to nową normą.

Skala tego znaleziska wywołała u deweloperów swego rodzaju zawrót głowy. Jeszcze bowiem w 2025 roku nawet jeden taki błąd w tak utwardzonym systemie byłby powodem do najwyższego alarmu. Dla wydawcy przeglądarki jest to powód do świętowania. "Obrońcy w końcu mają szansę wygrać, zdecydowanie" - skomentował Bobby Holley, Chief Technology Officer (CTO) w Mozilli.

Sytuacja wypada na korzyść obrońców, o ile oczywiście Mythos nie wpadnie w niepowołane ręce. Ale to już się zdarzyło. Hakerzy (na szczęście ci o dobrych zamiarach) uzyskali nieuprawniony dostęp do modelu, a Anthropic bada obecnie, jak doszło do tego naruszenia.

Do tej pory eksperci cyberbezpieczeństwa mieli przed sobą bardzo trudne zadania. Mimo ogromnych wysiłków całkowite wyeliminowanie exploitów wydawało się celem nierealnym. Strategia polegała raczej na podnoszeniu kosztów ataku do poziomu, który zniechęcałby wszystkich poza podmiotami o nieograniczonych budżetach. Wynikało to z asymetrii. Atakujący musieli znaleźć tylko jedną szczelinę w ogromnej powierzchni ataku. Mozilla stosowała wielowarstwową obronę, w tym sandboxing oraz wykorzystanie bardziej odpornego języka Rust, jednak przepisanie całej bazy kodu, od dekad pisanego w C++, było dla fundacji nieosiągalne.

Przełom nastąpił dzięki przesiadce na nowe narzędzia analityczne. Co się zmieniło? Dotychczasowe metody automatyczne, takie jak fuzzing, miały swoje ograniczenia i nie zapewniały pełnego pokrycia kodu. Najlepsi badacze bezpieczeństwa znajdowali błędy tam, gdzie automaty zawodziły, stosując logiczne rozumowanie nad kodem źródłowym. Proces ten był jednak powolny i ograniczony zasobami ludzkimi. Sztuczna inteligencja drastycznie zmieniła oblicze poszukiwania podatności.

Wiodące modele AI, takie jak Claude Mythos, radzą sobie z tym zadaniem o wiele sprawniej i wydajniej, nie ustępując przy tym ludzkim ekspertom. "Jak dotąd nie znaleźliśmy żadnej kategorii ani złożoności podatności, którą ludzie mogą odkryć, której ten model nie mógłby" - wyjaśnia Holley.

Dostępność tego potężnego modelu postrzegana jako zamknięcie luki między tym, co wykrywalne przez maszynę i przez człowieka, odbiera atakującym ich asymetryczną przewagę. Mozilla nie zauważyła, by AI znajdowała błędy wykraczające poza ludzkie pojmowanie - do technologicznej osobliwości jeszcze daleko. Architektura oprogramowania takiego jak Firefox jest modułowa i zaprojektowana tak, by człowiek mógł ocenić jej poprawność. Dzięki temu wizja software'u, w którym wszystkie defekty zostaną odnalezione i naprawione, staje się realna.

"Defekty są skończone, a my wkraczamy w świat, w którym możemy w końcu znaleźć je wszystkie" - skwitował ekspert.