Mythos от Anthropic нашёл серьёзные уязвимости в Firefox

Исследователи безопасности в Mozilla обнаружили, что инструмент Mythos от Anthropic выявил большое количество уязвимостей высокой серьёзности в браузере Firefox. Находка указывает на растущую эффективность AI-инструментов в сфере cybersecurity и переформатирует подходы крупных компаний к тестированию.

Что такое

Mythos и как он работает Mythos — это система автоматического анализа кода, разработанная Anthropic. Она использует языковую модель Claude для сканирования исходного кода в поиске потенциальных уязвимостей. В отличие от традиционных статических анализаторов, которые применяют формальные правила и сигнатуры, Mythos способен понимать контекст и выявлять нетривиальные дефекты безопасности. Инструмент работает на основе натурального языка, что позволяет ему обходить типичные ограничения формальных анализаторов. Система может разбирать сложную логику программы, отслеживать потоки данных от входа к выходу и выделять места, где они пересекаются с потенциальными векторами атак. Claude помогает Mythos делать логические выводы вроде: «Если функция получает пользовательский ввод без проверки и передаёт его в SQL-запрос, это потенциальная SQL-injection».

Какие уязвимости обнаружил

Mythos в Firefox Исследователи Mozilla публично не раскрывают полный список находок, но подтверждают, что Mythos обнаружил уязвимости высокой серьёзности разных типов: Утечки памяти, которые могли привести к раскрытию конфиденциальной информации из оперативной памяти браузера Ошибки в управлении буфером (buffer overflow), создающие риск выполнения произвольного кода на машине пользователя Проблемы в обработке входных данных из сетевых запросов, позволяющие атакующему манипулировать поведением браузера Недостатки в системе изоляции привилегий, дающие расширениям или скриптам больше доступа, чем необходимо * Race conditions в многопоточном коде, которые возникают редко, но критичны при эксплуатации > «Mythos выявил классы уязвимостей, которые наши стандартные инструменты последовательно пропускали», — поделились разработчики Mozilla в своём блоге.

Почему это критично для всей отрасли Находки в Firefox — это не просто улучшение одного браузера.

Это сигнал о том, что AI-инструменты начинают превосходить человека в систематическом поиске ошибок безопасности. Если Mythos нашёл серьёзные баги в коде, который проверяли сотни разработчиков годами, это означает смену парадигмы в cybersecurity. Традиционно компании полагаются на комбинацию: статические анализаторы (автоматически ищут известные паттерны), динамические тесты (проверяют поведение во время работы) и пентесты (люди пытаются сломать вручную). Mythos добавляет новый уровень — автоматизированный «интеллектуальный» анализ, который ищет не сигнатуры, а логические ошибки. Для других компаний это создаёт давление: либо внедрять подобные инструменты, либо отставать в гонке безопасности.

Что это значит для будущего AI-инструменты для поиска уязвимостей

переходят из статуса научного интереса в практический инструмент, который компании используют в боевых условиях. Mozilla и другие крупные проекты начинают переформатировать свои процессы тестирования вокруг возможностей Claude и подобных моделей. В ближайшие годы вероятно увидим новую волну находок уязвимостей в коде, который раньше считался проверенным, и, надеемся, более защищённый интернет в результате.