A Mozilla tájékoztatása szerint az Anthropic kiberbiztonságra fókuszáló, Claude Mythos nevű mesterséges intelligencia modellje 271 sebezhetőséget azonosított a Firefox böngészőben.

A sebezhetőségeket a Claude Mythos Preview egy korai verziójával fedezték fel, és ezeket a Firefox 150-es verziójának kiadásával a héten javították. A Firefox 150 több mint 40 CVE-azonosítóval rendelkező sérülékenységet javít, azonban a hivatalos közleményben mindössze három esetben tulajdonítják a felfedezést a Claude-nak:

Ez arra utal, hogy a 271 darab azonosított sebezhetőség jelentős része alacsonyabb súlyosságú, vagy nem éri el a nyilvános CVE-azonosító kiadásához szükséges küszöböt. Ide tartozhatnak például a defense-in-depth jellegű problémák, a hardening hiányosságai, illetve azok a hibák, amelyek olyan kódútvonalakon találhatóak (code path), amelyek nem használhatók ki támadási célra.

A Mozilla nem tett közzé részletes információkat a sebezhetőségek jellegéről, ugyanakkor Bobby Holley, a Firefox műszaki igazgatója így fogalmazott:

„Biztató, hogy nem találtunk olyan hibát, amelyet egy magasan képzett szakértő ne fedezhetett volna fel. Egyes vélemények szerint a jövő AI-modelljei teljesen új, a jelenlegi megértésünket meghaladó sebezhetőségi formákat tárhatnak majd fel, de mi ezt nem tartjuk valószínűnek”

Az, hogy a Claude Mythos ilyen nagy számú Firefox-sebezhetőséget talált, nem meglepő. Az Anthropic szerint a modell képes autonóm módon több ezer nulladik napi (zero-day) sebezhetőség feltárására. Ezért a vállalat úgy döntött, hogy nem teszi nyilvánosan elérhetővé a rendszert, hanem csak egy szűkebb kör számára biztosítják a Project Glasswing nevű program keretében. A program résztvevői között olyan vállalatok szerepelnek, mint az AWS, az Apple, a Broadcom, a Cisco, a CrowdStrike, a Google, a JPMorgan Chase, a Linux Foundation, a Microsoft, az Nvidia, valamint a Palo Alto Networks.

A Palo Alto Networks előzetes teszteredményeket is megosztott a Mythos kapcsán, amelyek szerint a rendszer kevesebb mint három hét alatt egy teljes évnyi penetrációs tesztelésnek megfelelő eredményt ért el a sebezhetőségek feltárása terén. A vállalat azt is kiemelte, hogy az AI kiemelkedő képességekkel rendelkezik a sebezhetőségek láncolásában (vulnerability chaining), vagyis közepes és alacsony súlyosságú hibák kombinálásával is képes kihasználási lehetőségeket létrehozni. Emellett a Mythos olyan logikai alapú problémákat is képes azonosítani, amelyeket a hagyományos eszközök gyakran nem észlelnek.

Lee Klarich, a Palo Alto Networks termék- és technológiai igazgatója szerint hat hónapon belül a fejlett kiberbiztonsági képességekkel rendelkező AI-modellek általánossá válhatnak. Azok a szervezetek, amelyek nem vezettek be megfelelő védelmi intézkedéseket, teljesen új típusú kockázatokkal szembesülnek majd a vállalati és a kritikus infrastruktúráikban. Klarich arra is rámutatott, hogy hasonló fejlesztések más AI-vállalatoktól is várhatók, és ezek a modellek nem feltétlenül lesznek olyan szigorúan korlátozva, mint a Mythos.

Mindeközben már érkeztek jelentések arról, hogy a Mythoshoz illetéktelen felhasználók is hozzáférhettek.