Gdy Anthropic w kwietniu zaprezentowało model Mythos, zapowiedziało również, że system jest wyjątkowo skuteczny w znajdowaniu podatności w oprogramowaniu. Mozilla, badając wyniki pracy tego typu modeli na kodzie Firefoksa, opublikowała szczegółowe obserwacje: Mythos ujawnił liczne błędy wysokiej wagi, w tym podatności zalegające w kodzie przez ponad dekadę. Efekt ten zmusił zespół bezpieczeństwa Mozilli do adaptacji podejścia do wykrywania i weryfikacji raportów.
Co dokładnie wykrył Mythos
Mozilla ujawniła, że w wyniku wykorzystania narzędzi opartych na modelach AI odkryto szereg poważnych błędów. Wśród ujawnionych przypadków znalazły się m.in. dwie nietypowe podatności w mechanizmach izolacji procesów (sandbox) oraz błąd związany z parsowaniem elementu HTML, sięgający około 15 lat wstecz. Zespół opublikował szczegóły dotyczące 12 wybranych błędów, co daje wgląd w typowe klasy problemów i techniki ich odkrywania.
Skala i tempo zmian
Różnica w tempie napraw wskazuje, jak szybko zmieniło się pole wykrywania błędów. Mozilla podaje, że w kwietniu 2026 r. przeszła 423 poprawek błędów, podczas gdy rok wcześniej w tym samym miesiącu było ich 31. Badacze przypisują ten wzrost dwóm czynnikom: znaczącej poprawie zdolności modeli oraz udoskonaleniu technik korzystania z tych modeli przez zespoły bezpieczeństwa. To połączenie mocy obliczeniowej i lepszych procesów umożliwiło znacznie większą produktywność w identyfikowaniu podatności.
Warto podkreślić, że wiele znalezionych problemów dotyczy skomplikowanych ścieżek ataku, jak te obejmujące sandbox. Aby wykryć taką podatność, narzędzie musi zaproponować zmodyfikowany fragment kodu lub konfigurację, a następnie wykorzystać go do przełamania izolacji — proces wieloetapowy i wymagający kreatywnego podejścia.
Jak działają nowoczesne narzędzia do wykrywania błędów
W poprzednich generacjach narzędzi opartych na AI częstym problemem były liczne fałszywe pozytywy i niska jakość raportów, co obciążało zespoły bezpieczeństwa. Zmiana, którą opisuje Mozilla, polega na pojawieniu się systemów agentowych zdolnych do samooceny wyników i odrzucenia nieudanych tropów. Dzięki temu przegląd i weryfikacja zgłoszeń stają się efektywniejsze, a zespoły otrzymują bardziej wartościowe wskazówki do dalszej analizy.
- Mythos wykrył tysiące podatności wymagających napraw przed upublicznieniem modelu (wg Anthropic).
- Mozilla opublikowała szczegóły 12 wybranych błędów znalezionych z pomocą AI.
- W kwietniu 2026 r. Firefox wysłał 423 poprawek — w porównaniu do 31 rok wcześniej.
- Zidentyfikowano luki w mechanizmach sandbox oraz 15-letni błąd parsowania HTML.
- Mozilla nadal ręcznie tworzy i weryfikuje poprawki; AI generuje propozycje, które wymagają pracy inżyniera.
W praktyce oznacza to, że AI stało się narzędziem zwiększającym zasięg i prędkość detekcji, podczas gdy ludzie nadal pełnią rolę decydującą w analizie kontekstu, potwierdzaniu eksploitatywności i wprowadzaniu zmian do kodu produkcyjnego.
Rola ludzi w procesie napraw
Mimo postępów w generowaniu poprawek za pomocą AI, Mozilla nie polega na automatycznym wdrażaniu wygenerowanego kodu. Zespół korzysta z AI jako źródła inspiracji lub szkiców poprawek, ale końcowa implementacja i przegląd odbywają się ręcznie. Dla opisanych przypadków Mozilla wskazuje, że każde rozwiązanie przechodzi przez pracę inżyniera i niezależną weryfikację — proces, który zachowuje kontrolę jakości i zgodność z wewnętrznymi standardami bezpieczeństwa.
Bezpieczeństwo jako pole walki między obroną a atakiem
Pojawienie się skutecznych narzędzi do wykrywania błędów niesie ze sobą dwojakie konsekwencje. Z jednej strony ułatwia obrońcom lokalizowanie i usuwanie podatności, co może poprawić ogólny stan bezpieczeństwa oprogramowania. Z drugiej strony podobne techniki mogą być stosowane przez osoby z złymi zamiarami do znajdowania nowych wektorów ataku. W opublikowanym materiale Mozilla oraz przedstawiciele branży podkreślają, że choć narzędzia te przesuwają przewagę nieco w stronę obrony, to ostateczny bilans zależy od wielu czynników, w tym od tego, jak szybko znalezione luki zostaną naprawione.
Anthropic deklaruje, że stosuje odpowiedzialne zasady ujawniania podatności, co jest ważne dla ograniczenia okna czasowego, w którym potencjalni napastnicy mogliby wykorzystać nowe informacje. Mimo to Mozilla zauważa, że część odkrytych błędów najpewniej wciąż nie została jeszcze załatana, co komplikuje ocenę pełnego wpływu nowych technik.
Co to oznacza dla branży i użytkowników
Dla firm tworzących oprogramowanie i dla zespołów ds. bezpieczeństwa pojawienie się bardziej skutecznych modeli wykrywania błędów oznacza konieczność przemyślenia procesów. Należy uwzględnić nowe źródła raportów, zaktualizować procedury weryfikacji i szybkiego reagowania oraz utrzymać najlepsze praktyki w zakresie ujawniania i łatania podatności. Użytkownicy mogą zyskać na szybszych aktualizacjach i bezpieczniejszym oprogramowaniu, o ile producent będzie w stanie skoordynować pracę wykrywających narzędzi z mechanizmami szybkiego wydawania poprawek.
Podsumowując, doświadczenia Mozilli z Mythos pokazują, że generatywne modele AI znacząco podnoszą potencjał wykrywania poważnych błędów, ale nie eliminują potrzeby ludzkiej kontroli i starannego procesu naprawczego. Zmiana ta wymaga od organizacji adaptacji procesów i utrzymania odpowiedzialnych praktyk ujawniania, aby korzyści z nowych narzędzi przeważały nad ryzykiem.
