Claude Mythos pomógł Mozilli znaleźć krytyczne luki w Firefoksie sprzed kilkunastu lat

Mozilla ujawniła, że model AI Claude Mythos od Anthropic pomógł wykryć w przeglądarce Firefox szereg krytycznych luk bezpieczeństwa, w tym błędy ukryte w kodzie nawet od kilkunastu lat. Według ekspertów to sygnał, że generatywna AI zaczyna realnie zmieniać sposób wykrywania podatności w oprogramowaniu.

W kwietniu Anthropic zaprezentował model Claude Mythos, który według firmy był na tyle skuteczny w wykrywaniu podatności, że jeszcze przed publicznym udostępnieniem odkrył tysiące błędów wymagających naprawy. Teraz szczegóły działania systemu ujawnili badacze bezpieczeństwa z Mozilla Foundation.

Jak poinformowała Mozilla, Claude Mythos pomógł znaleźć wiele poważnych luk w Mozilla Firefox, w tym podatności pozostające niewykryte przez ponad dekadę. Wśród nich znalazły się także błędy związane z mechanizmami sandboxingu, uznawanymi za jedne z najtrudniejszych obszarów zabezpieczeń przeglądarki.

Skala zmian jest widoczna również w liczbach. W kwietniu 2026 roku Firefox wdrożył 423 poprawki błędów, podczas gdy rok wcześniej było ich zaledwie 31. Mozilla opisała także 12 szczególnie istotnych podatności, w tym piętnastoletni błąd związany z analizą elementów HTML.

„Te narzędzia nagle stały się bardzo dobre” – powiedział Brian Grinstead, Distinguished Engineer w Mozilli, cytowany przez TechCrunch. Jak dodał, wzrost skuteczności widać zarówno w wewnętrznych testach firmy, jak i w raportach bezpieczeństwa napływających z całej branży.

AI zmienia zasady gry w cyberbezpieczeństwie

Eksperci podkreślają, że jeszcze kilka miesięcy temu narzędzia AI do wyszukiwania podatności generowały ogromną liczbę fałszywych alarmów i wymagały czasochłonnej weryfikacji. Przełom miał nastąpić wraz z rozwojem systemów agentowych zdolnych do samodzielnej oceny jakości wyników oraz filtrowania błędnych analiz.

Szczególnie istotne okazało się wykrywanie luk w „piaskownicy” Firefoksa. Tego typu podatności wymagają wieloetapowej analizy oraz symulowania złożonych scenariuszy ataku. Mozilla przyznaje, że program nagród za wykrywanie takich błędów przewiduje premie sięgające nawet 20 tys. dolarów, jednak AI znajduje dziś więcej tego typu problemów niż zewnętrzni badacze.

Warto jednak podkreślić, że mimo tych postępów Mozilla nadal nie wykorzystuje AI do automatycznego naprawiania podatności. Modele generują propozycje poprawek, jednak finalny kod nadal przygotowują i weryfikują inżynierowie.

Rozwój takich systemów rodzi jednocześnie pytania o wpływ AI na cały sektor cyberbezpieczeństwa. Narzędzia zdolne do wykrywania podatności mogą bowiem wspierać zarówno zespoły obronne, jak i cyberprzestępców.

„To przydatne zarówno dla atakujących, jak i obrońców, ale dostępność tego narzędzia nieco przesuwa przewagę na rzecz obrony. Realistycznie rzecz biorąc, nikt jeszcze nie zna odpowiedzi na to pytanie” – ocenił Brian Grinstead w rozmowie z TechCrunch.