В апреле команда Mozilla провела нестандартный эксперимент: вместо очередного раунда ручного аудита браузера Firefox они подключили к работе Mythos Preview — закрытую ИИ-модель Anthropic, которая до этого публично не тестировалась на реальных продуктах такого масштаба. Результат оказался неожиданным даже для самих разработчиков, так как за один месяц они закрыли 423 бага. Для сравнения — за весь 2025 год Firefox получил лишь 258 патчей безопасности, сообщает Techradar.
Из 271 уязвимости, которую нашел Mythos, 180 получили статус «высокая угроза». Это не абстрактная категория: баги такого уровня позволяют атаковать пользователя без каких-либо его действий, кроме перехода по ссылке. Еще 80 попали в категорию среднего риска, 11 — низкого.
Стандартный инструмент поиска уязвимостей — фаззинг. Это метод, при котором программа автоматически подбрасывает браузеру случайные или намеренно «сломанные» данные и смотрит, что упадет. Звучит просто, но у фаззинга есть слепые зоны: он плохо справляется с багами, которые требуют одновременно нескольких условий, так называемые цепочки уязвимостей. Именно такие дыры сложнее всего найти и именно они опаснее всего: атакующий последовательно использует несколько слабых мест, чтобы выбраться за пределы изолированной среды браузера и добраться до системы пользователя.
Mythos работает принципиально иначе, так как не перебирает случайные варианты. Он читает код так, как это делал бы опытный сотрудник безопасности: ищет логические взаимосвязи, строит гипотезы и проверяет их. Mozilla не просто запустила модель на репозиторий: инженеры разработали специальную обертку — «harness», — которая давала Mythos доступ к тем же рабочим инструментам, что использует живая команда. Модель получала файлы с потенциально проблемными участками, самостоятельно составляла сценарии атак и передавала их фаззерам для финальной проверки. Такая связка дала почти нулевой процент ложных срабатываний — редкость для любого автоматизированного инструмента.
Особого внимания заслуживают баги-цепочки. Сами по себе они могут выглядеть безобидно, но вместе они складываются в полноценный маршрут для атаки. Именно такие связки Mythos умеет выстраивать и находить — то, на что у живой команды уходят недели.
Все патчи вошли в три последних релиза Firefox. Пользователям достаточно убедиться, что браузер обновлен — и все найденные дыры уже закрыты. Mozilla при этом честно признает, что Mythos не работает сам по себе. Без правильно выстроенного контекста и грамотно настроенного окружения — модель выдает «шум» вместо результата.
Также недавно рассказали, как отремонтировать компьютер самостоятельно с помощью ChatGPT. Подробности в статье
Источник: hi-tech.mail.ru