Midden in een driftbui debat over de impact ervan dat nieuwe AI-modellen een impact zullen hebben op de cyberveiligheid, Mozilla zei dinsdag dat zijn Firefox 150-browser deze week werd uitgebracht inclusief bescherming voor 271 kwetsbaarheden geïdentificeerd met behulp van vroege toegang Antropische mythe Preview. Dat Firefox Het team zegt dat het de middelen en de discipline nodig zal hebben om zich aan te passen aan de vele bugs die nieuwe AI-tools kunnen ontdekken, maar deze grote verbeteringen zijn noodzakelijk voor de veiligheid van Mozilla-gebruikers, aangezien dergelijke mogelijkheden onvermijdelijk binnenkort in handen van aanvallers zullen komen.
Beiden Antropisch En OpenAI heeft de afgelopen weken een nieuw AI-model aangekondigd waarvan het bedrijf zegt dat het over geavanceerde cyberbeveiligingsmogelijkheden beschikt. Dit zou een keerpunt kunnen betekenen in de manier waarop verdedigers – en, cruciaal, aanvallers – kwetsbaarheden en verkeerde configuraties in softwaresystemen vinden. Met dit in gedachten hebben de bedrijven tot nu toe slechts beperkte lanceringen van hun nieuwe modellen gehad, en beide hebben ook sectorwerkgroepen opgericht om de voortgang te beoordelen en strategieën te bedenken. Maar in de praktijk hebben cybersecurity-experts verschillende opvattingen over hoe belangrijk deze nieuwe mogelijkheden zijn.
Mozilla’s ervaring laat, althans op de korte termijn, zien dat AI-tools zoals Mythos Preview een grote impact kunnen hebben voor kwetsbaarheidsjagers.
“Wij zijn ervan overtuigd dat deze tool de zaken dramatisch heeft veranderd, omdat we nu een geautomatiseerde techniek hebben die, voor zover wij weten, alle bugs kan onderscheppen die kwetsbaarheden veroorzaken”, zegt Bobby Holley, Chief Technology Officer van Firefox. Hij zei dat Firefox en andere organisaties jarenlang hebben vertrouwd op een combinatie van geautomatiseerde technieken voor het opsporen van kwetsbaarheden software vaagheiden handmatige tracking van kwetsbaarheden door interne en externe onderzoekers om zwakke punten te vinden en op te lossen. En de aanvallers beschikken ook over dezelfde tools en methoden.
“Er zijn categorieën bugs die je kunt vinden met menselijke analyse die je niet kunt vinden met geautomatiseerde analyse en daarom is dit altijd mogelijk als je een bedreigingsacteur bent en bereid bent miljoenen dollars uit te geven om bugs te vinden. We proberen de prijs van die bugs zo hoog mogelijk te verhogen,” zei Holley.
Holley zegt nu dat de opkomst van AI-mogelijkheden een soort bootcamp zal creëren waar alle software doorheen zal moeten gaan om een reeks latente kwetsbaarheden in hun code te vinden en op te lossen. Bedrijven als Anthropic en OpenAI proberen blijkbaar zoveel mogelijk grote spelers door deze revisie te krijgen voordat de mogelijkheid op grotere schaal beschikbaar wordt.
“Elke software moet deze transitie maken, omdat in elke software een heleboel bugs onder de oppervlakte verborgen zitten die nu ontdekt kunnen worden”, zegt Holley van Firefox. “Dit was een moeilijk tussenmoment en er was een gecoördineerde focus en veel doorzettingsvermogen voor nodig om er doorheen te komen, maar ik denk dat het een eindig moment is, zelfs naarmate de modellen geavanceerder worden. Misschien zullen de meer geavanceerde modellen hier of daar een paar dingen vinden, maar ik ben ervan overtuigd dat we, tenminste aan de kant van Firefox die hier een lichte voorsprong heeft, die curve voorbij zijn.”
Holley zei dat het Firefox-team toegang heeft gekregen tot Mythos Preview als onderdeel van een directe samenwerking met Anthropic en dat Mozilla officieel geen deel uitmaakt van het grotere consortium, genaamd Project Glasswing.
Firefox is open source-software, een soort software in het algemeen die vooral zou kunnen worden beïnvloed door nieuwe AI-bug-hunting-mogelijkheden, gezien het feit dat veel open source-projecten over de hele wereld op grote schaal worden gebruikt en waarop wordt vertrouwd, maar vaak worden onderhouden door kleine groepen vrijwilligers of slechts één persoon. En de impact kan enorm zijn voor ‘verlaten apparaten’ die helemaal niet meer worden beheerd.
