Ang pagkagambala ng artipisyal na katalinuhan bilang isang kasangkapan sa cybersecurity Malaking hakbang ang ginawa ng Mozilla sa pakikipagtulungan sa pagitan ng Mozilla at Anthropic sa Firefox. Sa loob lamang ng ilang linggo, natuklasan ng isang AI model ang ilang kahinaan sa open-source browser ng Mozilla na karaniwang mangangailangan ng ilang buwan ng espesyalisadong trabaho ng tao.
Ang eksperimentong ito, na may direktang epekto sa Mga gumagamit ng Firefox sa Espanya at iba pang bahagi ng EuropaNagsilbi itong sukatin kung gaano kalayo ang kayang maabot ng mga modelo ng wika ngayon pagdating sa pag-awdit ng totoong code, at kung ano ang papel na magagawa ng mga ito sa pagprotekta ng software na ginagamit ng daan-daang milyong tao araw-araw.
Kapag ang AI ay naging pinakamahusay na security auditor
Sa seguridad ng software, napakahalagang matukoy ang isang kahinaan bago pa man ito makita ng mga umaatake: maaari itong mangahulugan ng pagkakaiba sa pagitan ng protektahan ang milyun-milyong gumagamit o ilantad ang kanilang dataSa kontekstong ito, sinubukan ng Mozilla ang isang hindi pangkaraniwang pamamaraan: hinahayaan ang isang advanced na AI na suriin ang source code ng browser nito upang mahanap ang mga kahinaan bago pa man gawin ito ng mga mananaliksik o cybercriminal.
Ilang linggo bago ang paglulunsad ng Firefox 148Nakatanggap ang security team ng browser ng isang kapansin-pansing ulat: Pulang Koponan ng Antropikong Hangganan —ang panloob na grupo ng pananaliksik sa opensiba ng kumpanya— ay nagsabing natuklasan nila, sa tulong ng modelong Claude nito, mahigit isang dosenang mapapatunayang mga bug sa seguridad sa JavaScript engine ng Firefox. Hindi lamang ito mga hinala, kundi mga bug na sinusuportahan ng konkretong ebidensya.
Ang nagpaiba rito sa ibang mga pagtatangka na gumamit ng AI sa aspetong ito ay ang kalidad ng pag-uulat. Ang bawat kahinaan ay sinuportahan ng mga minimum na maaaring kopyahing kaso ng pagsubokIto ay maliliit na piraso ng code na may kakayahang mag-trigger ng kahinaan nang deterministiko. Dahil dito, na-verify ng mga inhinyero ng Mozilla sa loob ng ilang oras kung talagang umiiral ang problema at makapagsimulang gumawa ng mga patch nang hindi gumugugol ng oras sa pag-uulit ng mga malabong senaryo.
Sa isang ecosystem kung saan maraming alerto na nabuo ng mga automated na tool ang napupunta sa basurahan dahil sa pagiging mga maling positibo o hindi tumpak na ulatMalaki ang nabawas ng pamamaraan ng Anthropic sa ingay at nagbigay ng kapaki-pakinabang na senyales: mas kaunting lakas ng tunog, ngunit napatunayan at naaaksyunang mga natuklasan.
Ano ang Frontier Red Team ni Anthropic at paano ito gumagana kay Claude?
Ang tawag Koponan ng Pulang Hangganan Ito ang yunit ng Anthropic na nakatuon sa paggalugad ng mga limitasyon ng mga modelo ng AI nito sa opensiba at depensibong seguridad. Ang layunin nito ay hindi lamang upang masuri ang mga panloob na panganib sa loob ng mga modelo, kundi pati na rin upang siyasatin Paano magagamit ang AI upang mahanap ang mga kahinaan sa totoong software? bago pa man ito gawin ng mga masasamang aktor.
Sa mga nakaraang buwan, ipinakita ng pangkat na ito na ang mga modelong tulad ng Claude Opus 4.6 maaaring tumakbo mga pag-atakeng maraming yugto sa mga kumplikadong network sa mga kontroladong kapaligiranNagbibigay ito ng ideya sa kanilang mga kakayahang analitikal. Ang parehong kapangyarihang iyon ay nailipat, sa isang koordinado at responsableng paraan, sa pagsusuri ng mga open-source na proyekto tulad ng Firefox sa ilalim ng responsableng mga proseso ng pagsisiwalat ng kahinaan.
Sa partikular na kaso ng Mozilla browser, nagsimula ang Anthropic sa isang pagsasanay sa pagsubok: gamit si Claude upang muling likhain ang mga dating kahinaan ng Firefox (CVE)Sinuri namin kung natutukoy ng modelo ang mga pattern ng pagkakamali na naidokumento na sa mga mas lumang bersyon ng code. Positibo ang resulta, bagama't may isang malinaw na paalala: ang ilan sa impormasyong iyon ay maaaring nasa data ng pagsasanay ng modelo.
Para mas lumawak pa, ang Frontier Red Team ay tumalon sa kawili-wiling bahagi: hinihiling sa AI na hanapin mga bagong kahinaan sa kasalukuyang bersyon ng FirefoxIbig sabihin, mga bug na hindi pa nakalista sa anumang pampublikong database o sa mga internal tracking system ng Mozilla.
Paano natuklasan ang mga kahinaan sa JavaScript engine ng Firefox
Ang panimulang punto ay ang JavaScript engine ng browser, isang kritikal na bahagi dahil ito ang responsable para sa isagawa ang hindi mapagkakatiwalaang panlabas na code mula sa mga web pageAnumang error sa layer na ito ay maaaring, sa pinakamasamang kaso, maging isang gateway upang atakihin ang sistema ng gumagamit.
Gaya ng ipinaliwanag nina Anthropic at Mozilla, Natagpuan ni Claude ang kanyang unang kritikal na kahinaan sa loob ng halos dalawampung minuto. mula sa simula ng pagsusuri. Ito ay isang pagkabigo ng uri gamitin-pagkatapos-libre, isang kategorya ng kahinaan sa memorya na maaaring magpahintulot sa isang umaatake na patungan ang data na may arbitraryong nilalaman kung may kaugnayan sa iba pang mga kahinaan ng sistema.
Bagama't napatunayan ng mga inhinyero ng Anthropic ang paunang alertong ito sa isang virtual machine gamit ang pinakabagong bersyon ng browser, ang AI ay patuloy na nagtatrabaho nang sabay-sabay. Sa panahong iyon, ang modelo ay nakapag-flag na humigit-kumulang 50 karagdagang input na may kakaibang pag-uugali, marami sa mga ito ang kalaunan ay naging mga test case na ipinadala sa Mozilla.
Ang proseso ay hindi limitado sa JavaScript engine. Sa loob ng humigit-kumulang dalawang linggo, sinuri ni Claude halos 6.000 na mga C++ file at libu-libong karagdagang mga project filenakabuo ng 112 natatanging ulat. Sa set na iyon, pagkatapos ng triage ng pangkat ng seguridad ng Mozilla, ang mga sumusunod ay nakumpirma 22 kahinaan ang nakarehistro bilang CVE, kung saan 14 ang inuri bilang mataas na kalubhaan, bilang karagdagan sa halos 90 karagdagang mga pagkabigo na itinuturing na may mas kaunting epekto o mga lohikal na pagkakamali lamang.
Naayos na ang lahat ng natukoy na isyu sa seguridad sa development cycle ng Firefox 148.Ang bersyong ito ay magagamit na ngayon para sa mga gumagamit sa Europa at sa iba pang bahagi ng mundo. Naayos na rin ang mga bug na may mas mababang priyoridad, bagama't may ilang pagsasaayos na inilaan para sa mga susunod na bersyon upang maiwasan ang pagpapakilala ng napakaraming pagbabago sa isang release lamang.
Mahigit 100 bug ang natukoy at mas kaunting false positive kumpara sa ibang AI
Sa buong kolaborasyong ito, ang pagsusuri ni Claude ay nagbunga ng Mahigit sa 100 iba't ibang bug sa FirefoxBagama't hindi lahat ng mga ito ay naging mga kahinaan na maaaring pagsamantalahan, ipinapakita ng aklat na kahit ang mga mature at na-audit na proyekto tulad ng Mozilla browser ay maaari pa ring magtago ng maraming bug.
Para magbigay ng ideya sa epekto, ipinaliwanag ng security team ng Mozilla na, sa loob lamang ng dalawang linggong pagsubok na ito, nagawa ng AI na Tukuyin ang ilang mga depekto na may mataas na antas ng kalubhaan na katumbas ng humigit-kumulang 20% ​​ng lahat ng kritikal na kahinaan na naayos sa browser sa loob ng isang taonSa madaling salita, ang AI-assisted audit ay nakatuon sa mga araw, isang gawain na karaniwang hinahati sa loob ng maraming buwan.
Isang mahalagang aspeto ang false positive rate. Maraming open-source na proyekto, kabilang ang mga nasa Europa, ang nakatanggap ng false positive nitong mga nakaraang taon. mga alon ng mga ulat na nabuo ng mga tool ng AI na mababa ang kalidadAng mga ulat na ito ay kadalasang isinusumite ng mga gumagamit na naghahanap ng mga gantimpala sa pamamagitan ng mga programa ng bug bounty. Nalulunod ang mga tagapangasiwa nito sa mga problemang wala o hindi maganda ang pagkakalarawan.
Dahil alam ng Mozilla ang sitwasyong ito, sa simula ay nag-ingat siya tungkol sa kolaborasyon. Gayunpaman, napatunayang naiiba ang pamamaraan ng Frontier Red Team: Tanging ang mga hatol na may kasamang matibay na ebidensya ang isinumite para sa pagsusuri., na may malinaw na awtomatikong mga reproduksyon at, sa ilang mga kaso, mga kandidatong panukala ng patch na nabuo mismo ng AI at sinuri ng mga tao.
Itinampok ng mga inhinyero ng Mozilla ang tatlong elementong itinuturing nilang mahalaga para sa pagtitiwala sa mga ulat na nakabatay sa AI: mga minimum na kaso ng pagsubok, detalyadong mga patunay ng konsepto, at mga iminungkahing patchAng kombinasyong ito ay lubhang nakakabawas sa oras na kailangan upang kumpirmahin kung ang isang natuklasan ay nararapat na agarang pansinin o maaaring ipagpaliban.
Kaya bang samantalahin ng AI ang mga kahinaang natutuklasan nito?
Isa sa mga pinakamaselang punto ng eksperimento ay ang alamin kung si Claude ay may kakayahang hindi lamang maghanap ng mga kahinaankundi pati na rin upang gawing mga functional exploitIyon ay, sa mga pag-atake na may kakayahang magsagawa ng mga malisyosong aksyon sa isang target na sistema.
Nagpasya ang Anthropic na sukatin ang kakayahang ito sa isang kontroladong kapaligiran. Nagbigay ang pangkat sa modelo ng impormasyon tungkol sa mga kahinaan na naiulat na sa Mozilla at hiniling dito na bumuo ng exploit code na may layuning magbasa at magsulat ng lokal na file sa isang makinang pangsubok, isang aksyon na sa totoong senaryo ay maituturing na isang malaking kompromiso sa sistema.
Upang makamit ito, ilang daang magkakahiwalay na pagbitay ang isinagawa at humigit-kumulang [halagang nawawala] ang ipinuhunan. $4.000 sa mga kredito sa APIAng resulta ay may mga nuances: nagawa lamang ni Claude na makagawa Dalawang simpleng paraan na gaganaGayunpaman, sa isang kapaligiran lamang kung saan ang ilang mga proteksyon na naroroon sa mga modernong browser, tulad ng sandbox at iba pang mga depensang nagpapatigas, ay sadyang hindi pinagana.
Binibigyang-diin ng Mozilla na, sa ilalim ng mga totoong kondisyon sa mundo, ang pagkompromiso sa Firefox ay karaniwang nangangailangan ng pagsasama-sama ng maraming kahinaan at paglampas sa maraming patong ng depensaAng paghahanap ng kahit isang kahinaan, kahit na ang isang may mataas na kalubhaan, ay bihirang sapat upang kontrolin ang sistema ng gumagamit, na kasalukuyang naglilimita sa direktang potensyal na opensiba ng mga tool na ito.
Gayunpaman, itinuturing ng Anthropic na mahalaga na ang isang modelo ng wika ay may kakayahang, kahit na sa ilang mga kaso lamang at sa ilalim ng pinababang mga kondisyon, ng awtomatikong bumuo ng exploit para sa isang modernong browserNagbabala ang kompanya na ang agwat na ito—ang pagkakaiba sa pagitan ng pagtuklas at pagsasamantala—ay maaaring lumiit habang patuloy na bumubuti ang mga modelo at pamamaraan ng pagtatasa.
Isinasama ng Mozilla ang AI sa mga protocol ng seguridad nito
Kasunod ng tagumpay ng pakikipagtulungan, Kinumpirma ng Mozilla na isasama nito ang AI-assisted analysis sa regular nitong security workflow. para sa Firefox. Sinimulan na ng mga pangkat ng pundasyon ang panloob na pag-eeksperimento kay Claude para sa bug triage, pagsusuri ng patch, at pagtukoy ng pattern ng kahinaan sa mga kritikal na bahagi ng code.
Ang organisasyon, na may malakas na presensya ng mga gumagamit at developer sa Europa, ay nakikita ang teknolohiyang ito bilang isang paraan upang palakasin ang proteksyon sa privacy at seguridadIto ang mga haligi na bumubuo sa pagkakakilanlan ng proyektong Firefox. Bilang isang open-source browser, ang codebase nito ay magagamit para sa parehong mga independiyenteng mananaliksik at mga automated agent, tulad ng sariling AI ng Anthropic, upang ma-audit.
Para sa Mozilla, ang susi ay ang pagpapanatili ng balanse sa pagitan ng automation at pagsusuri ng taoBagama't kayang mapabilis ng mga modelo ng AI ang pagtuklas ng bug at makapagmungkahi ng mga pag-aayos, iginiit ng pundasyon na ang anumang patch—mula man sa isang tao o makina—ay dapat sumailalim sa parehong antas ng teknikal na pagsusuri bago maisama sa browser na ginagamit ng mga mamamayan ng Europa at sa iba pang bahagi ng mundo.
Ang karanasang ito ay nagbigay din ng praktikal na gabay para sa iba pang mga proyekto ng software, kabilang ang mga binuo sa Espanya o sa loob ng European Union: kung tatanggapin ang mga ulat na nakabatay sa AI, ipinapayong hilingin malinaw na ebidensya ng kakayahang ulitin at magtatag ng mga partikular na channel para sa ganitong uri ng pagsisiwalat, na iniiwasan ang labis na pag-overload ng mga tradisyonal na sistema ng pagsubaybay sa error.
Mga aral para sa mga developer at mga kumpanya ng teknolohiya sa Europa
Higit pa sa kaguluhan sa media na nakapalibot sa Firefox, ang kolaborasyon sa pagitan ng Anthropic at Mozilla ay nagbunga ng ilang mahahalagang konklusyon para sa mga startup, mga SME sa teknolohiya at malalaking kumpanya sa Europa na bumubuo ng sarili nilang software o mga digital na serbisyo.
Isa sa mga pinakamalinaw ay ang Ang pag-audit ng code na tinutulungan ng AI ay naging matipid naAng dating mangangailangan ng isang pangkat ng mga espesyalista na nagtatrabaho nang ilang linggo ay maaari na ngayong magkaroon ng paunang awtomatikong pagsusuri sa loob lamang ng ilang oras o araw, sa mas mababang gastos kaysa sa isang masusing manu-manong pagsusuri.
Isa pang aral ay ang Ang bilis ng pagtuklas ay nagsisimulang malampasan ang kapasidad ng pagwawasto ng taoAng mga kagamitang tulad ni Claude ay mabilis na nakakatuklas ng dose-dosenang mga potensyal na kahinaan, ngunit ang hadlang ay nagiging kakayahan ng mga panloob na pangkat na patunayan, unahin, at ayusin ang mga problemang iyon nang hindi nasisira ang ibang mga bahagi ng sistema.
Malinaw din na Ang open source ay hindi kasingkahulugan ng garantisadong seguridadGayunpaman, nag-aalok ito ng isang mahalagang bentahe: ang transparency. Ang mga proyektong tulad ng Firefox, na napakapopular sa Europa dahil sa kanilang pagtuon sa privacy, ay nagbibigay-daan sa parehong komunidad at mga automated agent na patuloy na suriin ang code, isang bagay na imposible sa mga saradong solusyon.
Para sa maraming organisasyon, ang pagsasama ng AI sa pipeline ng pag-unlad—halimbawa, sa pamamagitan ng pagsasama ng automated analytics sa mga yugto ng CI/CD—ay maaaring maging isang pagkakaiba-iba ng salik kapag nagpapakita ng pagsunod sa mga regulasyonIto ay nagiging lalong mahalaga sa hinaharap sa paglalapat ng mga pamantayang Europeo sa cybersecurity at kritikal na software.
Kasabay nito, ang kaso ay nagsisilbing paalala na ang mga umaatake ay mayroon ding access sa mga katulad na teknolohiya. Ang kasalukuyang kalamangan ay tila nasa panig ng depensa.Mas mahusay ang AI sa paghahanap at pagtulong na itama ang mga kapintasan kaysa sa pagsasamantala sa mga ito, ngunit walang sinuman ang nag-aakala na ang kalamangang ito ay tatagal nang maraming taon.
Sa ganitong sitwasyon, ang mga security manager sa mga kompanyang Europeo—mula sa mga bangko hanggang sa mga platform ng e-commerce o mga digital utility—ay nagsisimula nang makita ang mga tool na ito hindi bilang isang eksperimental na karagdagan, kundi bilang isa pang bahagi ng kanilang estratehiya sa proteksyon ng software.
Ang mga problema sa Firefox at Anthropic ay nagpapakita kung paano ang isang mahusay na ginagabayan at pinangangasiwaang modelo ng AI ay maaaring kumilos bilang isang nangungunang security auditor: maaari nitong suriin ang malalaking codebase, matukoy ang mga kumplikadong error, at magmungkahi ng mga solusyon nang napakabilis. Kasabay nito, nilinaw nito na ang pangwakas na desisyon ay nakasalalay pa rin sa mga pangkat ng tao, na dapat magpasya kung ano ang i-patch, paano, at kung anong mga prayoridad, sa isang tanawin kung saan patuloy na bumibilis ang bilis ng ebolusyon ng software at banta.
