Mozilla Foundationは、Anthropicのバグ検出AI「Mythos」モデルをテストし、その結果がソフトウェア防御者にとって分水嶺の瞬間を表していると感じたことを明かしました。
このFOSSプロジェクトは火曜日に読者に思い出させました。AnthropicのOpus 4.6モデルを使用してFirefox 148のバグを探索し、22個のバグを発見したことを。
MythosはFirefox 150で271個の脆弱性を発見しました。
Mozilla CTOのBobby Holleyはその結果について複雑な感情を表明しており、それはFirefoxチームが多くの欠陥を修正する必要に直面する中で「眩暈」を感じさせると説明しました。
「堅牢化されたターゲットの場合、2025年であればこのようなバグが1つあるだけで警報が鳴り、一度にこんなに多くのバグがあると、対応することが本当に可能かどうか疑問に思わずにはいられません」と彼は書きました。
彼はまた、Mythosが特定した多数のバグが、セキュリティチームにとって「トンネルの終わりの光」を表していると考えています。
「当社の仕事はまだ完了していませんが、私たちは流れを変え、単に対応するだけよりもはるかに良い未来を垣間見ることができます」と彼は書き、その後太字を有効にして「防御者たちはついに決定的に勝つチャンスを得ました。」と宣言しました。
彼はその予測を提示しました。というのも「これまでのところ、業界は大部分がセキュリティを引き分けに保ってきた」と感じているためです。ただし、すべてのエクスプロイトを排除することはほぼ不可能であることを認めています。
「代わりに、私たちはそれらを非常に高価にすることを目指しました。機能的に無制限の予算を持つアクターだけがそれを買う余裕があり、このような高価な資産を失うコストが、これらのアクターの気軽な使用に対するインセンティブを破壊するようにするためです」と彼は書きました。
Mythosはゲームを変えると彼は感じています。というのもMozillaが人間の介入なしにバグを見つけるために使用するファジングツールを改善することになるからです。
「エリートセキュリティ研究者は、主にソースコードを推論することにより、ファジングテストでは見つけられないバグを見つけます」と彼は書きました。「これは効果的ですが、時間がかかり、稀な人間の専門知識に制約があります。
「数ヶ月前、コンピュータはこれを行うことに完全に無能でしたが、今ではそれに優れています。私たちは世界で最高のセキュリティ研究者の仕事を分析する多年の経験を持っており、Mythos Previewはそれと同じくらい有能です。これまでのところ、人間が見つけることができるが、このモデルが見つけられない脆弱性のカテゴリーや複雑性を発見していません。」
CTOはMythosの能力は「当面は恐ろしく感じるかもしれませんが、最終的には防御者にとって素晴らしいニュースです」と考えています。
「機械で検出可能なバグと人間で検出可能なバグの間のギャップは攻撃者に有利に働きます。攻撃者は1つのバグを見つけるために多くの月の費用をかけた人間の努力を集中させることができるからです。このギャップを埋めることで、すべての発見を安くすることで、攻撃者の長期的な利点を弱めます。」
その後、彼は再びCTRL-Bを押して、CTRL-Iも使用して、「励みになることに、私たちはエリート人間の研究者によって見つけられなかったバグをまだ見ていません。」と述べました。
CTOはまた、「将来のAIモデルは、私たちの現在の理解に逆らう脆弱性の全く新しい形を掘り起こすだろう」と主張する人々に冷水を注ぎました。
彼はそれが起こるとは思いません。「Firefoxのようなソフトウェアはモジュラーな方法で設計されており、人間がその正確性について推論することができます。それは複雑ですが、恣意的に複雑ではありません。」
「欠陥は有限で、私たちはついにそれらをすべて見つけることができる世界に入っています。」®
