Mozilla объявила о важном достижении в области кибербезопасности: последняя версия Firefox (версия 150) включает защиту от 271 уязвимости, обнаруженной благодаря раннему доступу к системе «Mythos Preview» от компании Anthropic.
Эта масштабная «зачистка» подчеркивает смену парадигмы в обеспечении безопасности программного обеспечения. Поскольку модели ИИ становятся всё более способными выявлять глубоко скрытые недостатки, гонка между защитниками программ и киберпреступниками вступает в новую, высокорискованную фазу.
Сдвиг в сторону ИИ: от ручного поиска к автоматизированному обнаружению
На протяжении многих лет поиск уязвимостей в ПО строился на двух подходах:
1. Автоматизированное тестирование (например, «фаззинг») для обнаружения распространенных ошибок.
2. Ручные исследования высококвалифицированных специалистов для поиска сложных логических изъянов.
Исторически сложилось так, что самые опасные баги — те, что требуют глубокой человеческой интуиции — было труднее всего обнаружить машинам. Это создавало высокий «порог вхождения» для злоумышленников: поиск самых разрушительных эксплойтов обходился в миллионы долларов, затраченных на оплату труда экспертов.
Однако, по словам технического директора Firefox Бобби Холли, ИИ разрушает этот барьер. Mythos Preview позволяет использовать автоматизированные методы, которые потенциально могут охватить «всё пространство» багов, вызывающих уязвимости. Это означает, что «дорогие» баги, для поиска которых раньше требовались элитные хакеры, теперь становятся доступны для обнаружения искусственным интеллектом.
«Программный буткемп» для эры ИИ
Холли описывает текущий момент как необходимый, но трудный «переходный период». Он предполагает, что вскоре каждому программному продукту придется пройти через масштабную переработку с помощью ИИ, чтобы устранить скрытые ошибки, которые существовали годами, но оставались незамеченными.
«Каждому программному обеспечению придется пройти через этот переход, потому что под поверхностью любого кода скрыто множество багов, которые теперь поддаются обнаружению». — Бобби Холли, технический директор Firefox
Хотя Mozilla удалось опередить события благодаря прямому сотрудничеству с Anthropic, этот «поток багов» бросает серьезный вызов всей остальной индустрии.
Проблема уязвимости Open Source
В то время как крупные корпорации, такие как Mozilla, могут выделять огромные инженерные ресурсы на устранение этих обнаруженных ИИ дефектов, для экосистемы открытого исходного кода (open-source) назревает серьезный риск.
Индустрия программного обеспечения в значительной степени опирается на open-source проекты, которые зачастую поддерживаются небольшими группами волонтеров или даже одиночками. Это создает несколько критических точек отказа:
— Дефицит ресурсов: Малым проектам не хватает финансирования или персонала, чтобы исправить сотни багов одновременно.
— Риск «заброшенного ПО»: Программы, не имеющие поддержки, становятся золотой жилой для атакующих, использующих ИИ для поиска эксплойтов.
— Разрыв в возможностях: Растет опасение, что богатые компании будут использовать ИИ для укрепления собственной защиты, в то время как фундаментальное бесплатное ПО, на котором держится мир, останется уязвимым.
Как отметил технический директор Mozilla Раффи Крикориан, базовая экономика интернета остается неизменной: важнейшая инфраструктура часто поддерживается бесплатно, в то время как огромные корпорации строят на ней состояния, не внося вклада в ее поддержание.
Заключение
Интеграция ИИ в кибербезопасность — это палка о двух концах: она дает защитникам беспрецедентные инструменты для очистки кода, но также предоставляет атакующим «дорожную карту» для эксплуатации ранее «неуловимых» изъянов. Теперь перед индустрией стоит масштабная скоординированная задача: обезопасить цифровой фундамент до того, как возможности ИИ полностью перейдут в руки злоумышленников.
