Mozilla заявила, что ранняя версия модели Anthropic Claude Mythos Preview по уровню поиска уязвимостей в коде сопоставима с лучшими специалистами отрасли. В одном раунде эксперимента ИИ помог найти 22 security-sensitive бага в коде Firefox, которые успели исправить до последнего релиза, и ещё 90 других дефектов.
Внутри команды это восприняли не как повод для праздника, а как смену режима работы. Когда инструмент приносит не одну серьёзную находку, а сотни потенциальных проблем, узким местом становится уже не поиск, а исправления и проверка стабильности.
Почему Mozilla сравнила Mythos с элитными багхантерами
Mozilla прямо описывает, что сильные исследователи безопасности находят ошибки не перебором, а рассуждением по исходникам. Они отслеживают, как взаимодействуют части системы, и ловят места, где эти взаимодействия ломаются. Это долго и зависит от редкой экспертизы.
Автоматизация в виде фуззеров умеет гонять входные данные в больших объёмах. Но такие инструменты часто проходят одни ветки кода тщательно, а другие пропускают. По оценке Mozilla, Mythos как раз закрывает этот разрыв, потому что способен воспроизводить «человеческий» подход — рассуждать по коду и находить сложные баги, которые фуззинг регулярно не добирает.
Mozilla формулирует это жёстко: «Компьютеры не умели так делать ещё несколько месяцев назад, а теперь они в этом хороши». И в их тесте это выразилось в конкретных цифрах — 22 чувствительных с точки зрения безопасности бага за один цикл проверки.
«Нулевые дни» дешевеют: что меняется для атакующих и защитников
Классическая асимметрия в кибербезопасности выглядит так: у системы много потенциальных слабых мест, а атакующему нужен один удачный вход. Поэтому индустрия часто делает ставку на удорожание эксплуатации, а не на попытку «вычистить всё».
Mozilla считает, что модели уровня Mythos могут изменить экономику поиска уязвимостей. Логика простая: пока существует разрыв между тем, что машина может найти, и тем, что находит человек, атакующая сторона может вложить месяцы дорогой работы редких специалистов в одну уязвимость. Если ИИ закрывает этот разрыв, «открытия» становятся дешёвыми и массовыми, и это размывает преимущество атакующих.
При этом Mozilla подчёркивает: найденные Mythos дефекты не «появились» из ниоткуда. Они уже были в коде, просто их обнаружили намного быстрее.
И есть практическая сторона: когда у тебя не одна критичная уязвимость, а поток находок, команда вынуждена перестраивать приоритизацию. Mozilla описывает это прямо: обнаружение багов теперь занимает мало времени, а вот исправления и сохранение стабильности браузера становятся главным ограничением.
Свою позицию Mozilla резюмирует максимально оптимистично: «The defects are finite, and we are entering a world where we can finally find them all» — «Дефекты конечны, и мы входим в мир, где наконец сможем найти их все».
