Den senaste stora granskningen av Mozilla Firefox har kommit med en stor överraskning. Bakom kulisserna: webbläsaren har varit tvungen att åtgärda 271 säkerhetsbrister efter att dess kod genomgått intensiv analys med Claude Mythos, Anthropics cybersäkerhetsfokuserade artificiella intelligensmodell. Fallet anses långt ifrån vara ett enkelt experiment, utan vara en potentiell vändpunkt i hur stora internetanslutna applikationer skyddas.
Mozilla har i åratal skrytt med att Firefox är en av mer granskade och robusta webbläsare med öppen källkodSamarbetet med Anthropic avslöjade dock ett betydande antal latenta sårbarheter. Den goda nyheten är att dessa åtgärdades innan de kunde utnyttjas; oron härrör från upptäckten av i vilken utsträckning attackytan fortfarande dolde svagheter som varken manuell testning eller traditionella analystekniker hade upptäckt.
Firefox 150: en uppdatering med 271 åtgärdade sårbarheter
Enligt Bobby Holley, teknisk chef på Mozilla, är arbetet en del av en direkt samarbete med Anthropic Inom Project Glasswing, det begränsade programmet genom vilket AI-företaget låter teknikpartners analysera kritisk programvara, fokuserade skanningen på webbläsarens källkod, med särskild uppmärksamhet på känsliga komponenter som renderingsmotorn, sandlådan och processisoleringslager.
Holley medger att branschen historiskt sett har antagit att Att helt eliminera missbruk var ett orealistiskt mål.Strategin gick ut på att göra attacker så svåra som möjligt genom lager av försvar på djupet, sandlådor och säkrare språk som Rust, men att alltid acceptera att viss sårbarhet så småningom skulle dyka upp. Den massiva upptäckten av Mythos förstärker denna idé, men visar samtidigt att balansen kan börja förändras till försvararnas fördel.
Teknikchefen påpekar själv att ett enda fel i den kategori som upptäckts skulle ha varit röd varning år 2025 för ett högt skyddat målDärav den yrsel som, enligt Mozilla, har spridit sig bland andra säkerhetsteam när de har sett det totala antalet sårbarheter som upptäckts samtidigt, ett scenario som testar alla organisationers reaktionsförmåga.
Från Opus till Mythos: Ett språng framåt inom AI-driven revision
Samarbetet mellan Mozilla och Anthropic började inte med Mythos. Månader tidigare hade stiftelsen testat Claude Opus 4.6Anthropics avancerade modell användes för att granska en tidigare version av webbläsaren. Det första testet resulterade i att 22 säkerhetsbrister i Firefox 148 korrigerades, några av dem allvarliga, och ansågs vara en anmärkningsvärd prestation redan då.
Ankomsten av Claude Mythos Preview har dock inneburit en ett hopp i skala på ungefär tolv gånger antalet upptäckta sårbarheterMedan Opus 4.6 identifierade ett par dussin sårbarheter, har Mythos upptäckt 271 och har i interna tester genererat över 180 fungerande sårbarheter som visar att dessa fel faktiskt är utnyttjade. När det gäller revisionsproduktivitet är detta en betydande förbättring.
Mozilla betonar att Anthropics modell har uppnått en prestanda jämförbar med elitforskaresDet viktiga, förtydligar de, är inte att den upptäcker helt nya typer av sårbarheter, utan att den systematiskt kan lokalisera många av de problem som en expert också skulle kunna hitta, men på mycket kortare tid och i en skala som är praktiskt taget ohanterlig för manuella team.
En punkt som organisationen betonar är att Inga sårbarheter har upptäckts som låg utom räckhåll för en skicklig mänsklig forskare.Detta överensstämmer med Mozillas uppfattning, som inte tror att AI kommer att skapa attackmetoder ur tomma intet som helt utmanar vår nuvarande förståelse av säkerhet; snarare förstärker det det arbete som redan kan göras, men utan begränsningar av tid, trötthet eller resurser.
För en komplex, modulär applikation som Firefox, utformad just så att människor kan resonera kring dess olika delar, är denna metod rimlig. Det som förändras är inte så mycket felens natur som möjligheten att upptäcka mycket mer på kortare tidDetta är nyckeln för en webbläsare som fungerar som en inkörsport till tusentals tjänster och applikationer, inklusive finansiella plattformar, verktyg för distansarbete och offentliga onlinetjänster i Europeiska unionen.
Från den offensiva modellen till försöket till en defensiv fördel
I åratal har programvarusäkerhet rört sig in i en En obekväm balans mellan anfallare och försvarareAttackytan för en modern webbläsare är så stor att det är omöjligt att täcka den helt med traditionella verktyg, vilket har gett angripare en asymmetrisk fördel: de behöver bara hitta en välplacerad sårbarhet för att uppnå sitt mål.
Mozilla medger att deras strategi har förlitat sig på en kombination av försvar på djupet, strikt sandboxing och flitig användning av Rust för att minimera vissa felfamiljer. Detta kompletteras av tekniker som fuzzing, vilket utsätter koden för slumpmässiga inmatningar för att tvinga fram oväntade fel. Firefox-teamet erkänner dock själva att det finns områden i koden som är mycket svårare att fuzzaDetta skapar luckor i täckningen som kan utnyttjas av patientangripare.
Genom att använda en AI som Claude Mythos introduceras en ny pusselbit. Till skillnad från slumpmässiga tester eller manuella granskningar kan modellen resonera kring källkoden, identifiera misstänkta mönster och föreslå exploateringar vilket visar om ett fel verkligen är kritiskt. Detta minskar det exklusiva beroendet av högt specialiserade team, vilka är sällsynta och oförmögna att hantera den mängd programvara som behöver granskas.
För Mozilla öppnar detta dörren till att gradvis minska klyftan mellan de fel som maskiner kan upptäcka och de som mänskliga experter kan lokalisera.Om kostnaden för att hitta sårbarheter minskar drastiskt för försvarare, försvinner en del av den strukturella fördel som angripare hade, vana vid att ägna månader av arbete åt att jaga en enda lönsam brist.
Holley medger att den första chocken av att se så många fel samtidigt var inget annat än en inre jordbävning, men hävdar att när den första chocken lagt sig är känslan positiv: om resurser kan prioriteras och insatserna fokuseras på att korrigera det AI:n avslöjar, Försvararna kan börja spela med samma vapen.Det vill säga, förutsatt att det finns team som kan absorbera mängden resultat och omsätta dem till effektiva korrigeringar.
Risker med sådan kraftfull säkerhets-AI: ett tydligt tveeggat svärd
Vid sidan av Mozillas måttliga entusiasm följer en stor del av den europeiska cybersäkerhetssektorn noga utvecklingen. risk för missbruk av verktyg som Claude MythosSamma system som gör det möjligt att hitta brister i Firefox kan användas, i fel händer, för att automatisera upptäckten av sårbarheter i operativsystem, hot wallets, decentraliserade applikationer eller kritiska infrastrukturtjänster.
Anthropic är medveten om den risken och hävdar faktiskt Mythos är tillgängligt med mycket begränsad åtkomst via Project GlasswingStora teknikföretag som Apple, Microsoft, Google, Amazon Web Services, Linux Foundation och Mozilla själva ingår i denna grupp, som använder modellen för att granska sin egen programvara och, i vissa fall, strategisk infrastruktur. Tanken är att noggrant kontrollera vad som analyseras och för vilka ändamål.
Nyligen genomförda rapporter tyder på att Claude Mythos i kontrollerade tester har nått Identifiera och utnyttja zero-day-sårbarheter i allmänt använda systemfrån webbläsare till operativsystem. Det har till och med dokumenterats att den kan utföra komplexa cyberoperationer ganska autonomt, såsom flerstegssimuleringar av intrång i företagsnätverk.
Dessa funktioner har väckt intresse inte bara från företag utan även från regeringar och underrättelsetjänsterI USA har det till exempel rapporterats att National Security Agency till och med har kört Mythos på hemligstämplade nätverk, trots allmänhetens reservationer mot användningen av sådana verktyg i krigs- eller övervakningssammanhang.
För Europa, där debatten om AI-reglering och dataskydd Det är särskilt intensivt; fall som Firefox och Mythos erbjuder ammunition till alla sidor: å ena sidan visar de värdet av välstyrd AI för att skydda miljontals användare; å andra sidan belyser de behovet av att säkerställa att den här typen av modeller inte leder till nya generationer av storskaliga automatiserade attacker.
Påverkan på ekosystemet för öppen programvara och på europeiska användare
Firefox har en unik position i webbläsarlandskapet. Även om den har förlorat marknadsandelar till Chromium och dess derivater, är den fortfarande en en nyckelkomponent i miljöer där fri programvara och integritet värderas, liksom många europeiska offentliga förvaltningar, akademiska institutioner och avancerade användare av GNU/Linux-system.
I det sammanhanget kan upptäckten av 271 sårbarheter tolkas på två sätt. Å ena sidan bekräftar det att även Noggrant granskade öppen källkodsprojekt kan dölja ett stort antal buggar.Helt enkelt för att kodbasen är enorm och manuell granskning inte kan nå överallt. Å andra sidan visar det att den öppna utvecklingsmodellen gör det enklare för externa verktyg, inklusive avancerad AI, att inspektera koden och bidra till att förbättra dess säkerhet.
Mozilla erkänner att de, med hjälp av Mythos, nu har en lång lista med pågående uppgifter för att stärka säkerheten av deras flaggskeppsapplikation. För slutanvändare i Spanien och resten av Europa är rekommendationen enkel: håll din webbläsare uppdaterad att dra nytta av dessa patchar. Version 150 åtgärdar inte bara de upptäckta buggarna, utan bibehåller även takten för förbättringar av prestanda, kompatibilitet och funktioner som sandboxing och behörighetshantering för lokala nätverk.
Dessutom kan Firefox-fallet tjäna som ett prejudikat för andra projekt med öppen källkod Dessa verktyg används dagligen i företag, offentliga organ och kritiska tjänster. Verktyg som används ofta – webbservrar, kryptografiska bibliotek, utvecklingsramverk – skulle kunna dra nytta av liknande AI-drivna granskningar, vilket är särskilt relevant i Europeiska unionen, där direktiven om cybersäkerhet och digital motståndskraft blir allt strängare.
Utmaningen, som Mozilla självt medger, är att många av dessa projekt inte har tillräckliga mänskliga eller ekonomiska resurser för att absorbera flödet av resultat som en modell som Mythos kan generera. Det är där både fri mjukvarustiftelser och offentlig politik som stöder säkerhet med öppen källkod kommer in i bilden, en fråga som redan har tagits upp i Bryssel efter incidenter som Log4Shell.
En ny fas i förhållandet mellan människor och AI inom cybersäkerhet
Utöver anekdoten om de 271 sårbarheterna, är det Firefox-fallet som ger upphov till en fokusskifte i förhållandet mellan mänskliga forskare och AI inom cybersäkerhet. Istället för att ställa de två mot varandra förespråkar Mozilla en modell där avancerade verktyg utökar säkerhetsteamens kapacitet utan att ersätta deras omdöme eller erfarenhet.
Organisationen beskriver Claude Mythos som ett slags outtröttlig säkerhetsforskarekapabla att granska stora mängder kod, föreslå exploateringar och identifiera riskmönster. Vid sidan av dem ansvarar mänskliga specialister för att prioritera, bekräfta, korrigera och besluta vilka ändringar som ska införas i slutprodukten.
Denna samarbetsvision har direkta konsekvenser för den europeiska cybersäkerhetsmarknaden, där företag och forskningscentra redan är verksamma. De experimenterar med AI för kodgranskningar, analys av skadlig kod eller intrångsdetektering.Om Mozillas resultat replikeras i andra projekt kan vi få se reaktionstiderna på kritiska fel förkortas och trycket på överbelastade säkerhetsteam minska, åtminstone delvis.
Samtidigt tydliggör Anthropics och Mozillas erfarenheter vikten av Omvärdera metoderna som används för att mäta prestandan hos AI-modeller inom säkerhetsuppgifter. Anthropic har själva medgett att många nuvarande riktmärken redan har misslyckats med att bedöma de verkliga funktionerna hos deras senaste system, vilket kräver utformning av mer krävande och representativa tester.
Om det finns en sak som både Mozilla och Anthropic verkar vara överens om, så är det att, för tillfället, Det finns ingen fullständig ersättning för mänskligt omdöme inom riskhantering. AI accelererar och utökar sökandet efter problem, men beslutet om vad som ska åtgärdas, hur det ska göras och inom vilken tidsram beror fortfarande på team av människor som måste balansera säkerhet, användarpåverkan och tillgängliga resurser.
Allt pekar på att lanseringen av Firefox 150 med patchar för 271 sårbarheter som flaggats av Claude Mythos kommer att bli ihågkommen som det ögonblick då Cybersäkerhet tog ett stort steg mot intelligent automatisering.Mozillas webbläsare blir därmed en fallstudie om hur man integrerar AI på hög nivå i utvecklings- och underhållscykeln för en kritisk produkt, utan att tappa bort de därmed sammanhängande riskerna eller behovet av noggrann mänsklig tillsyn. För användare, utvecklare och beslutsfattare i Spanien och Europa är lärdomen tydlig: artificiell intelligens är inte längre bara ett futuristiskt koncept, utan ett verktyg som börjar balansera vågskålen i en strid som i årtionden har lutats till angriparnas fördel.
