Te midden van een woedende debat over de impact die nieuwe AI-modellen zullen hebben op het gebied van cyberbeveiliging, Mozilla zei dinsdag dat zijn Firefox 150-browser deze week uitkomt omvat beschermingen voor 271 kwetsbaarheden geïdentificeerd met behulp van vroege toegang tot Anthropic’s Mythos-preview. De Firefox Het team zegt dat het middelen en discipline heeft gekost om zich aan te passen aan de brandslang van bugs die nieuwe AI-tools kunnen ontdekken, maar dat deze grote verbetering noodzakelijk is voor de veiligheid van Mozilla-gebruikers, aangezien de mogelijkheden onvermijdelijk binnenkort in handen van aanvallers zullen komen.
Beide Antropisch En Open AI hebben de afgelopen weken nieuwe AI-modellen aangekondigd waarvan de bedrijven zeggen dat ze geavanceerde cyberbeveiligingsmogelijkheden hebben die een keerpunt kunnen betekenen in de manier waarop verdedigers – en, cruciaal, aanvallers – kwetsbaarheden en verkeerde configuraties in softwaresystemen vinden. Met dit in gedachten hebben de bedrijven tot nu toe slechts beperkte privé-releases van hun nieuwe modellen gedaan, en beide hebben ook industriële werkgroepen bijeengeroepen om de vooruitgang te beoordelen en een strategie te bepalen. In de praktijk hebben cyberbeveiligingsexperts echter verschillende opvattingen over de gevolgen van de nieuwe mogelijkheden.
Mozilla’s ervaring laat, althans op de korte termijn, zien dat AI-tools zoals Mythos Preview een diepgaande impact kunnen hebben op kwetsbaarheidsjagers.
“Onze overtuiging is dat de tools de zaken dramatisch hebben veranderd, omdat we nu over geautomatiseerde technieken beschikken die, voor zover wij kunnen nagaan, de volledige ruimte van kwetsbaarheidsveroorzakende bugs kunnen bestrijken”, zegt Bobby Holley, Chief Technology Officer van Firefox. Hij zegt dat Firefox en andere organisaties jarenlang hebben vertrouwd op een combinatie van geautomatiseerde technieken voor het opsporen van kwetsbaarheden, zoals software fuzzen handmatige zoektocht naar kwetsbaarheden door interne en externe onderzoekers om fouten te vinden en op te lossen. En aanvallers hebben dezelfde tools en methoden tot hun beschikking.
“Er waren categorieën bugs die je met menselijke analyse kon vinden, maar die je niet met geautomatiseerde analyse kon vinden. Daarom was het altijd mogelijk als je een bedreigingsacteur was en bereid was vele miljoenen dollars uit te geven om een bug te vinden. We probeerden de prijs daarvoor zo hoog mogelijk te maken”, zegt Holley.
Holley zegt nu dat opkomende AI-mogelijkheden een soort bootcamp zullen creëren waar alle software op de een of andere manier doorheen zal moeten gaan om een reeks latente kwetsbaarheden in hun code te vinden en op te lossen. Bedrijven als Anthropic en OpenAI lijken te proberen zoveel mogelijk grote spelers deze revisie te laten ondergaan voordat de mogelijkheden op grotere schaal beschikbaar zijn.
“Elk stukje software zal deze transitie moeten maken, omdat in elk stukje software een heleboel bugs onder de oppervlakte verborgen zitten die nu ontdekt kunnen worden”, zegt Holley van Firefox. “Dit is een tijdelijk moment dat moeilijk is en een gecoördineerde focus en veel doorzettingsvermogen vereist om er doorheen te komen, maar ik denk dat het een eindig moment is, zelfs als de modellen geavanceerder worden. Misschien zullen de meer geavanceerde modellen hier en daar een paar dingen vinden, maar ik geloof dat we, in ieder geval aan de Firefox-kant, omdat we hier een beetje een voorsprong hadden, de curve hebben afgerond.”
Holley zegt dat het Firefox-team toegang heeft gekregen tot Mythos Preview als onderdeel van de directe samenwerking met Anthropic en dat Mozilla formeel geen deel uitmaakt van zijn grotere consortium, genaamd Project Glasswing.
Firefox is open source, een soort software die over het algemeen bijzonder getroffen zou kunnen worden door nieuwe AI-bug-jachtmogelijkheden, aangezien veel open source-projecten over de hele wereld op grote schaal worden gebruikt en vertrouwd, en toch vaak worden onderhouden door een zeer kleine groep vrijwilligers of slechts één persoon. En de gevolgen kunnen vooral gevolgen hebben voor “abandonware” die helemaal niet langer wordt onderhouden.
