Đánh giá lớn gần đây nhất về Mozilla Firefox đã ra mắt với một bất ngờ lớn. Đằng sau hậu trường: trình duyệt đã phải vá 271 lỗ hổng bảo mật sau khi mã nguồn của nó trải qua quá trình phân tích chuyên sâu với Claude Mythos, mô hình trí tuệ nhân tạo tập trung vào an ninh mạng của Anthropic. Đây không chỉ đơn thuần là một thử nghiệm, mà còn được xem là một bước ngoặt tiềm năng trong cách bảo vệ các ứng dụng kết nối internet quy mô lớn.
Trong nhiều năm qua, Mozilla vẫn luôn tự hào rằng Firefox là một trong những trình duyệt hàng đầu. các trình duyệt mã nguồn mở được kiểm toán và mạnh mẽ hơnTuy nhiên, sự hợp tác với Anthropic đã hé lộ một số lượng đáng kể các lỗ hổng tiềm ẩn. Tin tốt là những lỗ hổng này đã được khắc phục trước khi bị khai thác; mối lo ngại xuất phát từ việc phát hiện ra mức độ mà bề mặt tấn công vẫn còn che giấu những điểm yếu mà cả kiểm thử thủ công lẫn các kỹ thuật phân tích truyền thống đều không phát hiện ra.
Firefox 150: bản cập nhật đánh dấu sự phục hồi 271 lỗ hổng bảo mật.
Theo Bobby Holley, Giám đốc công nghệ của Mozilla, công việc này là một phần của... hợp tác trực tiếp với Anthropic Trong khuôn khổ Dự án Glasswing, một chương trình hạn chế cho phép các đối tác công nghệ phân tích phần mềm quan trọng do công ty trí tuệ nhân tạo này thực hiện, quá trình quét tập trung vào mã nguồn của trình duyệt, đặc biệt chú trọng đến các thành phần nhạy cảm như công cụ kết xuất, hộp cát và các lớp cách ly tiến trình.
Holley thừa nhận rằng, trong lịch sử, ngành công nghiệp này đã cho rằng Việc loại bỏ hoàn toàn các lỗ hổng bảo mật là một mục tiêu không thực tế.Chiến lược này bao gồm việc làm cho các cuộc tấn công trở nên khó khăn nhất có thể thông qua nhiều lớp phòng thủ, kỹ thuật sandbox và các ngôn ngữ bảo mật hơn như Rust, nhưng luôn chấp nhận rằng cuối cùng sẽ xuất hiện một số lỗ hổng. Việc phát hiện ra Mythos quy mô lớn củng cố ý tưởng này, nhưng đồng thời cũng cho thấy cán cân có thể đang bắt đầu nghiêng về phía những người phòng thủ.
Chính Giám đốc Công nghệ (CTO) đã chỉ ra rằng chỉ cần một lỗi thuộc loại được phát hiện cũng đã dẫn đến hậu quả nghiêm trọng. Báo động đỏ vào năm 2025 đối với một mục tiêu được bảo vệ nghiêm ngặt.Do đó, theo Mozilla, sự choáng váng đã lan rộng trong các nhóm bảo mật khác khi họ chứng kiến tổng số lỗ hổng được phát hiện cùng một lúc, một kịch bản thử thách khả năng phản ứng của bất kỳ tổ chức nào.
Từ Opus đến Mythos: Một bước tiến vượt bậc trong kiểm toán AI
Sự hợp tác giữa Mozilla và Anthropic không bắt đầu từ Mythos. Vài tháng trước đó, tổ chức này đã thử nghiệm... Claude Opus 4.6Mô hình tiên tiến của Anthropic đã được sử dụng để xem xét một phiên bản cũ hơn của trình duyệt. Bài kiểm tra đầu tiên đó đã dẫn đến việc khắc phục 22 lỗ hổng bảo mật trong Firefox 148, một số trong đó khá nghiêm trọng, và được coi là một thành tựu đáng kể ngay cả vào thời điểm đó.
Tuy nhiên, sự xuất hiện của Claude Mythos Preview đã đồng nghĩa với... Số lượng lỗ hổng bảo mật được phát hiện đã tăng lên khoảng mười hai lần về quy mô.Trong khi Opus 4.6 chỉ xác định được khoảng hai chục lỗ hổng, Mythos đã phát hiện ra 271 lỗ hổng và trong quá trình thử nghiệm nội bộ, đã tạo ra hơn 180 mã khai thác hoạt động, chứng minh khả năng khai thác thực tế của các lỗi này. Về năng suất kiểm toán, đây là một cải tiến đáng kể.
Mozilla nhấn mạnh rằng mô hình của Anthropic đã đạt được thành công. hiệu suất tương đương với các nhà nghiên cứu ưu tú của con người.Họ làm rõ rằng điều quan trọng không phải là nó phát hiện ra các loại lỗ hổng hoàn toàn mới, mà là nó có khả năng xác định một cách có hệ thống nhiều vấn đề mà một chuyên gia cũng có thể tìm thấy, nhưng trong thời gian ngắn hơn nhiều và trên quy mô mà các nhóm thủ công hầu như không thể xử lý được.
Một điểm mà tổ chức này nhấn mạnh là: Không có lỗ hổng bảo mật nào được phát hiện mà một nhà nghiên cứu giỏi không thể khắc phục được.Điều này phù hợp với quan điểm của Mozilla, vốn không tin rằng AI sẽ tạo ra các phương thức tấn công từ hư không, hoàn toàn thách thức hiểu biết hiện tại của chúng ta về bảo mật; thay vào đó, nó khuếch đại những công việc vốn đã có thể thực hiện được, nhưng không bị giới hạn bởi thời gian, sự mệt mỏi hoặc nguồn lực.
Đối với một ứng dụng phức tạp, có cấu trúc mô-đun như Firefox, được thiết kế chính xác để con người có thể hiểu được các phần khác nhau của nó, cách tiếp cận này rất hợp lý. Điều thay đổi không phải là bản chất của các lỗi mà là... khả năng khám phá nhiều hơn trong thời gian ngắn hơnĐây là yếu tố then chốt đối với một trình duyệt đóng vai trò là cổng truy cập vào hàng ngàn dịch vụ và ứng dụng, bao gồm các nền tảng tài chính, công cụ làm việc từ xa và các dịch vụ công trực tuyến trong Liên minh Châu Âu.
Từ mô hình tấn công đến nỗ lực giành lợi thế phòng thủ
Trong nhiều năm, bảo mật phần mềm đã phát triển theo hướng... Một sự cân bằng không ổn định giữa bên tấn công và bên phòng thủ.Bề mặt tấn công của một trình duyệt hiện đại rất rộng lớn, đến mức không thể bao phủ hoàn toàn bằng các công cụ truyền thống, điều này đã mang lại cho kẻ tấn công một lợi thế bất đối xứng: chúng chỉ cần tìm ra một lỗ hổng phù hợp để đạt được mục tiêu của mình.
Mozilla thừa nhận rằng chiến lược của họ dựa trên sự kết hợp của nhiều yếu tố. Phòng thủ nhiều lớp, môi trường thử nghiệm nghiêm ngặt và sử dụng rộng rãi ngôn ngữ Rust. Để giảm thiểu một số loại lỗi nhất định. Điều này được bổ sung bởi các kỹ thuật như fuzzing, phương pháp này đưa mã vào các đầu vào ngẫu nhiên để buộc mã phải xảy ra lỗi không mong muốn. Tuy nhiên, chính nhóm phát triển Firefox cũng thừa nhận rằng vẫn còn những hạn chế nhất định. các khu vực của mã nguồn khó bị lỗi hơn nhiều.Điều này tạo ra những lỗ hổng trong phạm vi bảo mật mà những kẻ tấn công kiên nhẫn có thể khai thác.
Việc sử dụng trí tuệ nhân tạo như Claude Mythos mang đến một mảnh ghép mới cho bức tranh tổng thể. Không giống như việc kiểm tra ngẫu nhiên hoặc đánh giá thủ công, mô hình này có khả năng... Phân tích mã nguồn, xác định các mẫu đáng ngờ và đề xuất các phương thức khai thác. Điều này giúp chứng minh liệu một lỗi có thực sự nghiêm trọng hay không. Nó làm giảm sự phụ thuộc hoàn toàn vào các nhóm chuyên gia cao cấp, vốn rất khan hiếm và không thể xử lý lượng phần mềm cần được xem xét.
Đối với Mozilla, điều này mở ra cánh cửa cho Dần dần thu hẹp khoảng cách giữa những lỗi mà máy móc có thể phát hiện và những lỗi mà các chuyên gia con người có thể tìm ra.Nếu chi phí tìm kiếm lỗ hổng bảo mật giảm mạnh đối với bên phòng thủ, một phần lợi thế về cấu trúc mà bên tấn công từng có, vốn quen với việc dành hàng tháng trời để săn lùng một lỗ hổng duy nhất mang lại lợi nhuận, sẽ biến mất.
Holley thừa nhận rằng cú sốc ban đầu khi thấy quá nhiều lỗi cùng một lúc chẳng khác nào một trận động đất trong lòng, nhưng khẳng định rằng, một khi cú sốc ban đầu qua đi, cảm giác hiện tại là tích cực: nếu có thể ưu tiên nguồn lực và tập trung nỗ lực vào việc sửa chữa những gì AI phát hiện ra, Bên phòng thủ có thể bắt đầu sử dụng cùng loại vũ khí.Điều đó có nghĩa là, với điều kiện là phải có các nhóm đủ khả năng tiếp thu lượng kết quả khổng lồ và chuyển đổi chúng thành các bản vá lỗi hiệu quả.
Rủi ro của trí tuệ nhân tạo bảo mật mạnh mẽ như vậy: một con dao hai lưỡi rõ ràng
Bên cạnh sự nhiệt tình vừa phải của Mozilla, phần lớn các công ty trong lĩnh vực an ninh mạng châu Âu đang theo dõi sát sao tình hình. Khả năng lạm dụng các công cụ như Claude MythosHệ thống tương tự cho phép tìm ra lỗi trong Firefox, nếu rơi vào tay kẻ xấu, có thể được sử dụng để tự động phát hiện các lỗ hổng trong hệ điều hành, ví điện tử, ứng dụng phi tập trung hoặc các dịch vụ cơ sở hạ tầng quan trọng.
Anthropic nhận thức được rủi ro đó và trên thực tế, họ duy trì... Mythos hiện chỉ có thể truy cập được với số lượng rất hạn chế thông qua Project Glasswing.Các công ty công nghệ lớn như Apple, Microsoft, Google, Amazon Web Services, Linux Foundation và chính Mozilla đều là thành viên của nhóm này, sử dụng mô hình này để kiểm toán phần mềm của chính họ và, trong một số trường hợp, cả cơ sở hạ tầng chiến lược. Ý tưởng là kiểm soát chặt chẽ những gì được phân tích và cho mục đích gì.
Các báo cáo gần đây chỉ ra rằng, trong các thử nghiệm có kiểm soát, Claude Mythos đã đạt được Xác định và khai thác các lỗ hổng bảo mật zero-day trong các hệ thống được sử dụng rộng rãi.Từ trình duyệt đến hệ điều hành. Thậm chí, người ta còn ghi nhận rằng nó có thể thực hiện các hoạt động mạng phức tạp một cách hoàn toàn tự động, chẳng hạn như mô phỏng xâm nhập nhiều giai đoạn vào mạng lưới doanh nghiệp.
Những khả năng này đã thu hút sự quan tâm không chỉ từ các công ty mà còn từ... chính phủ và các cơ quan tình báoVí dụ, tại Hoa Kỳ, có thông tin cho rằng Cơ quan An ninh Quốc gia (NSA) thậm chí đã sử dụng Mythos trên các mạng lưới mật, bất chấp những lo ngại của công chúng về việc sử dụng các công cụ như vậy trong bối cảnh chiến tranh hoặc giám sát.
Đối với châu Âu, nơi diễn ra cuộc tranh luận về... Quy định về trí tuệ nhân tạo và bảo vệ dữ liệu Vấn đề này đặc biệt căng thẳng; các trường hợp như Firefox và Mythos cung cấp bằng chứng cho cả hai phía: một mặt, chúng cho thấy giá trị của trí tuệ nhân tạo được quản lý tốt trong việc bảo vệ hàng triệu người dùng; mặt khác, chúng nhấn mạnh sự cần thiết phải đảm bảo rằng các mô hình này không trở thành nguồn nhiên liệu cho các thế hệ tấn công tự động quy mô lớn mới.
Tác động đến hệ sinh thái phần mềm mở và người dùng châu Âu
Firefox chiếm một vị trí độc đáo trong thế giới trình duyệt. Mặc dù đã mất thị phần vào tay Chromium và các trình duyệt phái sinh của nó, Firefox vẫn là một trình duyệt hàng đầu. một thành phần quan trọng trong môi trường coi trọng phần mềm tự do và quyền riêng tư.Cũng như nhiều cơ quan hành chính công, các tổ chức học thuật và người dùng cao cấp của hệ thống GNU/Linux ở châu Âu.
Trong bối cảnh đó, việc phát hiện ra 271 lỗ hổng có thể được hiểu theo hai cách. Một mặt, nó khẳng định rằng ngay cả Các dự án mã nguồn mở được kiểm toán nghiêm ngặt có thể che giấu một số lượng lớn lỗi.Đơn giản là vì mã nguồn quá lớn và việc xem xét thủ công không thể bao quát hết mọi ngóc ngách. Mặt khác, điều này chứng minh rằng mô hình phát triển mở giúp các công cụ bên ngoài, bao gồm cả trí tuệ nhân tạo tiên tiến, dễ dàng kiểm tra mã và góp phần cải thiện tính bảo mật của nó.
Mozilla thừa nhận rằng, với sự hỗ trợ của Mythos, họ hiện đã có được một Danh sách dài các nhiệm vụ cần thực hiện để tăng cường an ninh. của ứng dụng chủ lực của họ. Đối với người dùng cuối tại Tây Ban Nha và phần còn lại của châu Âu, khuyến nghị rất đơn giản: cập nhật trình duyệt Để được hưởng lợi từ các bản vá này. Phiên bản 150 không chỉ khắc phục các lỗi đã phát hiện mà còn duy trì tốc độ cải tiến về hiệu năng, khả năng tương thích và các tính năng như bảo mật trong môi trường ảo (sandboxing) và quản lý quyền truy cập mạng cục bộ.
Hơn nữa, vụ kiện Firefox có thể được xem như một tiền lệ cho các dự án mã nguồn mở khác Những công cụ này được sử dụng hàng ngày trong các doanh nghiệp, cơ quan nhà nước và các dịch vụ thiết yếu. Các công cụ được triển khai rộng rãi—máy chủ web, thư viện mật mã, khung phát triển—đều có thể hưởng lợi từ các cuộc kiểm toán tương tự được hỗ trợ bởi trí tuệ nhân tạo, điều này đặc biệt quan trọng ở Liên minh Châu Âu, nơi các chỉ thị về an ninh mạng và khả năng phục hồi kỹ thuật số ngày càng trở nên nghiêm ngặt hơn.
Thách thức, như chính Mozilla thừa nhận, là nhiều dự án trong số này không có... nguồn nhân lực hoặc kinh tế đủ để đáp ứng lượng phát hiện. Điều mà một mô hình như Mythos có thể tạo ra. Đó là nơi mà cả các tổ chức phần mềm tự do và các chính sách công hỗ trợ an ninh nguồn mở đều phát huy tác dụng, một vấn đề đã được nêu ra ở Brussels sau các sự cố như Log4Shell.
Một giai đoạn mới trong mối quan hệ giữa con người và trí tuệ nhân tạo trong an ninh mạng
Ngoài câu chuyện về 271 lỗ hổng bảo mật, vụ việc Firefox còn đặt ra một câu hỏi khác: Sự thay đổi trọng tâm trong mối quan hệ giữa các nhà nghiên cứu con người và trí tuệ nhân tạo Trong lĩnh vực an ninh mạng, thay vì đối đầu giữa các bên, Mozilla ủng hộ mô hình trong đó các công cụ tiên tiến mở rộng khả năng của các nhóm bảo mật, mà không thay thế khả năng phán đoán hoặc kinh nghiệm của họ.
Tổ chức này mô tả Claude Mythos như một loại nhà nghiên cứu bảo mật không mệt mỏiCó khả năng xem xét lượng lớn mã nguồn, đề xuất các lỗ hổng bảo mật và xác định các mô hình rủi ro. Bên cạnh đó, các chuyên gia con người vẫn chịu trách nhiệm ưu tiên, xác nhận, sửa chữa và quyết định những thay đổi nào sẽ được đưa vào sản phẩm cuối cùng.
Tầm nhìn hợp tác này có tác động trực tiếp đến thị trường an ninh mạng châu Âu, nơi các công ty và trung tâm nghiên cứu đã và đang hoạt động. Họ đang thử nghiệm trí tuệ nhân tạo (AI) để kiểm tra mã nguồn, phân tích phần mềm độc hại hoặc phát hiện xâm nhập.Nếu kết quả của Mozilla được lặp lại trong các dự án khác, chúng ta có thể thấy thời gian phản ứng với các lỗi nghiêm trọng được rút ngắn và áp lực lên các nhóm bảo mật đang quá tải được giảm bớt, ít nhất là một phần.
Đồng thời, kinh nghiệm của Anthropic và Mozilla cho thấy rõ tầm quan trọng của Đánh giá lại các phương pháp được sử dụng để đo lường hiệu suất của các mô hình AI. trong các nhiệm vụ bảo mật. Bản thân Anthropic đã thừa nhận rằng nhiều tiêu chuẩn hiện tại đã không đáp ứng được khả năng thực sự của các hệ thống mới nhất của họ, điều này đòi hỏi phải thiết kế các bài kiểm tra khắt khe và mang tính đại diện hơn.
Nếu có một điều mà cả Mozilla và Anthropic dường như đều đồng ý, đó là, hiện tại, Không có gì có thể thay thế hoàn toàn cho sự phán đoán của con người. Trong quản lý rủi ro, AI giúp tăng tốc và mở rộng việc tìm kiếm vấn đề, nhưng quyết định về việc cần khắc phục vấn đề gì, khắc phục như thế nào và trong thời gian bao lâu vẫn phụ thuộc vào các nhóm người phải cân bằng giữa bảo mật, tác động đến người dùng và nguồn lực sẵn có.
Mọi dấu hiệu đều cho thấy việc phát hành Firefox 150 với các bản vá cho 271 lỗ hổng bảo mật do Claude Mythos chỉ ra sẽ được ghi nhớ như một thời điểm quan trọng. An ninh mạng đã tiến một bước quan trọng hướng tới tự động hóa thông minh.Trình duyệt của Mozilla do đó trở thành một nghiên cứu điển hình về cách tích hợp trí tuệ nhân tạo cấp cao vào vòng đời phát triển và bảo trì của một sản phẩm quan trọng, mà không bỏ qua các rủi ro liên quan hoặc nhu cầu giám sát chặt chẽ của con người. Đối với người dùng, nhà phát triển và các nhà hoạch định chính sách ở Tây Ban Nha và châu Âu, bài học rất rõ ràng: trí tuệ nhân tạo không còn chỉ là một khái niệm tương lai, mà là một công cụ đang bắt đầu cân bằng lại cán cân trong một cuộc chiến đã nghiêng về phía những kẻ tấn công trong nhiều thập kỷ.
