Искусственный интеллект Mythos обнаружил тысячи критических уязвимостей в программном обеспечении

Когда компания Anthropic представила свою новую модель Mythos в апреле, она также сделала серьезное предупреждение разработчикам программного обеспечения. По утверждению лаборатории, модель оказалась настолько эффективной в обнаружении уязвимостей, что выявила тысячи критических ошибок, требующих исправления до ее публичного релиза.

Теперь специалисты по безопасности браузера Firefox от Mozilla более подробно рассказывают о том, как этот процесс выглядел на практике и что возможности Mythos означают для безопасности программного обеспечения в целом.

Прорыв в поиске уязвимостей

В четверг Mozilla сообщила в своем сообщении, что Mythos обнаружил множество критических уязвимостей, некоторые из которых оставались незамеченными в коде более десяти лет.

Это значительное улучшение по сравнению с возможностями инструментов безопасности на базе искусственного интеллекта (ИИ) всего полгода назад. До недавнего времени такие инструменты имели серьезные недостатки, часто заваливая команды безопасности низкокачественными отчетами и ложными срабатываниями. Однако исследователи Mozilla отмечают, что последнее поколение инструментов совершило прорыв, особенно благодаря тому, что агентные системы (способные самостоятельно принимать решения и выполнять задачи) теперь могут оценивать свою работу и отфильтровывать неверные результаты.

Исследователи подчеркнули, что за несколько месяцев ситуация значительно изменилась: модели стали гораздо мощнее, а также были существенно улучшены методы их применения.

Результаты впечатляют: в апреле 2026 года Firefox выпустил 423 исправления ошибок, тогда как годом ранее их было всего 31. Исследователи также опубликовали подробности о 12 обнаруженных уязвимостях, включая две необычные уязвимости "песочницы" (изолированной среды выполнения кода) и ошибку, существующую 15 лет, в обработке HTML-элемента браузером.

По словам Брайана Гринстеда, ведущего инженера Mozilla, эти инструменты "внезапно стали очень эффективными". Он отметил, что это подтверждается внутренним сканированием, внешними отчетами об ошибках и другими показателями по всей отрасли.

Сложные уязвимости "песочницы"

Тот факт, что система помогла выявить уязвимости в системе "песочницы" Firefox, особенно впечатляет, учитывая сложность атаки, необходимой для их эксплуатации. Для обнаружения таких уязвимостей модель должна создать скомпрометированный патч для браузера, а затем атаковать наиболее защищенную часть программного обеспечения с помощью нового кода. Выявление и демонстрация ошибки — это тонкий, многоэтапный процесс, требующий как креативности, так и пристального внимания.

Для сравнения: программа вознаграждений за ошибки Mozilla выплачивает исследователям, обнаружившим уязвимость в "песочнице" Firefox, до 20 000 долларов США — это самая высокая награда. Несмотря на столь щедрое вознаграждение, Гринстед утверждает, что Mythos находит больше проблем с "песочницей", чем когда-либо удавалось обнаружить исследователям-людям. Брайан Гринстед отметил, что хотя команда получает сообщения о таких уязвимостях от людей, "их объем несравним с тем, что удается обнаружить с помощью данной технологии".

Ограничения ИИ в исправлении ошибок

Примечательно, что команда Firefox по-прежнему не использует ИИ для непосредственного исправления ошибок, несмотря на задокументированный прогресс в инструментах ИИ для написания кода. Команда просит ИИ генерировать патчи для каждой ошибки, но полученный код обычно не может быть развернут напрямую и служит лишь основой для инженера-человека.

Гринстед подчеркнул, что каждая из упомянутых ошибок требует участия инженера в написании патча и еще одного — в его проверке. Автоматизировать этот процесс пока не удалось.

Перспективы кибербезопасности

Пока неясно, как новые возможности ИИ изменят общий баланс сил в кибербезопасности. Спустя месяц после предварительного показа Mythos, большинство обнаруженных ошибок, вероятно, еще не были исправлены, что затрудняет оценку полного масштаба их воздействия. Anthropic тщательно придерживается норм ответственного раскрытия информации, но вполне вероятно, что злоумышленники используют схожие методы втайне, даже если их модели пока не так совершенны.

Выступая на недавнем мероприятии, генеральный директор Anthropic Дарио Амодей выразил оптимизм, полагая, что новые инструменты в конечном итоге сыграют на руку защитникам. Он отметил, что "при правильном подходе можно оказаться в лучшем положении, чем было изначально, поскольку все эти ошибки будут исправлены. Количество ошибок, которые можно найти, ограничено". Амодей выразил уверенность, что "после этого нас ждет лучший мир".

Занимаясь этими сложными деталями, Гринстед придерживается более взвешенной точки зрения: "Инструмент полезен как для злоумышленников, так и для защитников, но его доступность немного смещает преимущество в сторону защиты. Реалистично говоря, никто пока не знает ответа на этот вопрос".