Модель Claude Mythos Preview от Anthropic, предоставленная ограниченному кругу организаций, включая Mozilla, обнаружила 271 уязвимость в браузере Firefox. Все найденные проблемы были устранены в релизе Firefox 150.
Это стало одним из самых масштабных примеров использования ИИ для поиска ошибок в реальном программном продукте.
Масштаб и скорость поиска
В ходе тестирования Claude Mythos анализировала кодовую базу Firefox и выявила сотни уязвимостей, которые ранее оставались незамеченными. Такой объем обычно требует значительных усилий со стороны команд специалистов и занимает длительное время.
Ранее в рамках сотрудничества использовалась модель Claude Opus 4.6, которая за две недели нашла 22 уязвимости, из них 14 были высокой критичности. С появлением Mythos масштаб и скорость поиска резко выросли.
При этом отмечается, что все найденные ошибки могли быть обнаружены и человеком. Разница заключается в скорости и охвате: модель находит больше уязвимостей за меньшее время.
Характер обнаруженных уязвимостей
Обнаруженные проблемы не относятся к принципиально новому классу. Это известные типы уязвимостей, которые ранее были пропущены в процессе разработки и аудита.
В официальных отчётах Mozilla лишь часть уязвимостей получила идентификаторы CVE, однако общее количество найденных проблем значительно выше.
Ограниченный доступ к модели
Anthropic не выпустила Claude Mythos в открытый доступ. Модель распространяется среди ограниченного числа организаций в рамках программы Project Glasswing.
Такое решение связано с рисками двойного применения. Те же возможности, которые позволяют ускорить поиск уязвимостей и повысить безопасность, могут использоваться для атак.
Риски и инциденты
Параллельно с успешным применением модели стало известно о расследовании несанкционированного доступа к Mythos через стороннюю инфраструктуру.
Этот инцидент подчеркивает, что подобные инструменты могут представлять угрозу, если попадут в руки злоумышленников.
Влияние на практику безопасности
Использование Claude Mythos показывает, что автоматизированный поиск уязвимостей может существенно изменить процессы обеспечения безопасности. Масштабируемый анализ кода позволяет находить ошибки, которые ранее оставались незамеченными из-за ограничений ручной проверки.
При этом остаётся необходимость в исправлении найденных проблем, что требует ресурсов и координации, особенно для проектов с ограниченными возможностями.
Источник: InfoWorld