Uprostřed běsnění Mozilla v úterý uvedla, že její verze prohlížeče Firefox 150 tento týden obsahuje ochranu pro 271 zranitelností identifikovaných pomocí včasného přístupu k Mythos Preview společnosti Anthropic. Tým Firefoxu říká, že to vyžadovalo zdroje a disciplínu, aby se přizpůsobil množství chyb, které mohou nové nástroje umělé inteligence odhalit, ale že tento velký posun je nezbytný pro bezpečnost uživatelů Mozilly, protože schopnosti budou nevyhnutelně brzy v rukou útočníků.
Společnosti Anthropic i OpenAI v posledních týdnech oznámily nové modely umělé inteligence, o nichž společnosti tvrdí, že disponují pokročilými schopnostmi kybernetické bezpečnosti, které by mohly představovat zlomový bod v tom, jak obránci – a především útočníci – nalézají zranitelnosti a nesprávné konfigurace v softwarových systémech. S ohledem na tuto skutečnost společnosti dosud vydaly pouze omezené soukromé verze svých nových modelů a obě také svolaly průmyslové pracovní skupiny, které měly posoudit pokroky a vytvořit strategii. V praxi však mají experti na kybernetickou bezpečnost řadu názorů na to, jak budou nové schopnosti důležité.
Zkušenosti Mozilly, alespoň z krátkodobého hlediska, ukazují, že nástroje umělé inteligence jako Mythos Preview by mohly mít hluboký dopad na lovce zranitelností.
„Věříme, že tyto nástroje dramaticky změnily věci, protože nyní máme automatizované techniky, které dokážou pokrýt, pokud můžeme říci, celý prostor chyb způsobujících zranitelnost,“ říká Bobby Holley, technologický ředitel Firefoxu. Říká, že Firefox a další organizace již léta spoléhají na kombinaci technik automatického vyhledávání zranitelnosti, jako je softwarové fuzzing a ruční vyhledávání zranitelnosti interními a externími výzkumníky, aby našli a opravili chyby. A útočníci měli k dispozici stejné nástroje a metody.
„Byly kategorie chyb, které jste mohli najít lidskou analýzou, které jste nemohli najít pomocí automatizované analýzy, a proto to bylo vždy možné, pokud jste byli aktérem hrozeb a byli jste ochotni utratit mnoho milionů dolarů za nalezení chyby – snažili jsme se cenu za to dostat co nejvýše,“ říká Holley.
Holley nyní říká, že nově vznikající schopnosti umělé inteligence vytvoří jakýsi bootcamp, kterým bude muset veškerý software projít jedním či druhým způsobem, aby našel a opravil sadu skrytých zranitelností v jejich kódu. Zdá se, že společnosti jako Anthropic a OpenAI se snaží přimět co nejvíce hlavních hráčů, aby prošli touto revizí dříve, než budou možnosti širší.
„Každý kus softwaru bude muset tento přechod provést, protože každý kus softwaru má pod povrchem mnoho chyb, které jsou nyní zjistitelné,“ říká Holley z Firefoxu. „Toto je přechodný okamžik, který je obtížný a vyžaduje koordinované zaměření a hodně síly, abychom se přes něj dostali, ale myslím si, že je to konečný okamžik, i když se modely stávají vyspělejšími. Možná pokročilejší modely najdou pár věcí tu nebo tam, ale věřím, že alespoň na straně Firefoxu, která zde měla trochu náskok, jsme zaokrouhlili křivku.“
Holley říká, že tým Firefoxu získal přístup k Mythos Preview jako součást přímé spolupráce s Anthropic a že Mozilla není formálně součástí jeho většího konsorcia, nazvaného Project Glasswing.
Firefox je open source, typ softwaru, který by obecně mohl být zvláště ovlivněn novými možnostmi vyhledávání chyb AI vzhledem k tomu, že mnoho open source projektů je široce používáno a spoléhá se na ně po celém světě, a přesto jsou často udržovány velmi malou skupinou dobrovolníků nebo pouze jednou osobou. A účinky by mohly být zvláště významné pro „abandonware“, který již není vůbec udržován.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
