Mozilla は Firefox 150 をリリースし、驚異的な 271 個のゼロデイ脆弱性に対応しています。セキュリティチームは Anthropic の初期段階である Claude Mythos Preview AI モデルを使用してこれらの潜在的な欠陥を特定しました。
この大規模なクリーンアップは、テクノロジー企業がサイバー脅威をいかに検出し、防御するかの大きな転換を表しています。
Firefox チームは最近、Anthropic と協力して最先端の AI モデルを使用して Firefox ブラウザをスキャンするために何ヶ月も費やしています。
Claude Mythos が 271 個のゼロデイを暴露
今年の初め、Mozilla は Opus 4.6 モデルを使用して Firefox 148 の 22 個のセキュリティバグを特定し、修正しました。Claude Mythos Preview の導入は、このプロセスを劇的に加速させ、一度に数百の隠れた脆弱性を暴露しました。
パッチが当てられた欠陥の膨大な量は、エンジニアリングチームが積極的にワークロードの優先順位を変更する必要がありました。強化されたターゲットで 271 個のバグを見つけることは、通常、深刻な赤い警告をトリガーするでしょう。
しかし、Mozilla はこの大規模な発見を大きな勝利と見なしています。チームは積み残しを成功裏に解消し、組織が専念して AI 駆動の脆弱性の開示を管理できることを証明しました。
歴史的に、サイバーセキュリティは攻撃的な戦術を大きく支持してきました。攻撃者は複雑なシステムを悪用するために、たった 1 つの弱点を見つける必要がありました。
防御者は以前、エクスプロイトを非常に高価にして、高い資金を持つ脅威アクターだけがそれらを購入できるようにすることを目指していました。
高度な AI ツールはこのダイナミクスを完全に変えます。Claude Mythos Preview のようなモデルを利用してコードをスキャンすることにより、防御者は人間が発見可能で機械が発見可能なバグの間のギャップを埋めることができます。
これにより、脆弱性の発見が内部セキュリティチームにとって安価でアクセス可能になり、攻撃者がかつて保有していた長期的な非対称的な利点を直接的に侵食します。
最新の Web ブラウザは、プロセスサンドボックスと Rust などのメモリセーフ言語を含む、深いセキュリティレイヤーに依存しています。ただし、組織は単に開発を一時停止して、数十年前のレガシー C++ コードを書き直すことはできません。
セキュリティチームは歴史的に、自動ファジングなどの動的解析技術に依存して古いコードをテストしてきました。ただし、ファザーは潜在的な実行経路すべてをカバーするのに苦労しています。
エリート人間の研究者は、通常、ソースコードを手動で分析することでこれらのカバレッジギャップを埋めました。Claude Mythos Preview は現在、マシンスピードでこの正確な種類の複雑な論理的推論を実行しています。
Mozilla は、AI がトップティアの人間研究者の能力に匹敵し、従来の自動化ツールが完全に見落とす深い論理的欠陥を簡単に特定していることを報告しています。
人工知能が理解不可能な新しい攻撃ベクトルを明かすかもしれないという業界の懸念にもかかわらず、Mozilla はより現実的な状況を指摘しています。AI モデルは、エリート人間も発見できない脆弱性カテゴリを見つけていません。
ソフトウェア設計は、モジュール化され、論理的であり、人間の開発者が理解できるように構築されています。任意のソフトウェアのコード欠陥の総数は有限であるため、AI ツールは開発チームにそれらすべてを見つけて修正するための現実的なパスを与えます。
翻訳元: https://gbhackers.com/claude-mythos-exposes-271-zero-day-firefox/
