Mozilla разкри как откри 271 уязвимости във Firefox чрез AI без „фалшиви сигнали“

Публикувано от Svetni.me Editorial на 8 май 2026 г.

Mozilla предостави подробен поглед върху революционната си система за откриване на уязвимости, базирана на изкуствен интелект, която е успяла да идентифицира 271 грешки в сигурността на Firefox само за два месеца [1]. Ключовото постижение, според инженерите на организацията, е почти пълното елиминиране на фалшиво положителните резултати – проблем, който досега правеше AI инструментите непрактични за мащабна работа.

Пробивът е постигнат чрез използването на модела Claude Mythos Preview на Anthropic, комбиниран със специално разработена от Mozilla „агентна обвивка“ (agentic harness).

Краят на „AI плявата“

Доскоро използването на големи езикови модели за одит на код често водеше до генериране на плавно написани, но напълно халюцинирани доклади за грешки, известни в общността като „AI slop“. Mozilla променя тази динамика, като поставя модела в затворен цикъл с реални инструменти за разработка.

„Агентната обвивка е кодът, който управлява модела, за да постигне конкретна цел“, обяснява Брайън Гринстед (Brian Grinstead), главен инженер в Mozilla. Системата не просто чете код, а активно създава тестови сценарии (test cases), изпълнява ги в специализирани среди за фъзинг и проверява дали те предизвикват реален срив в браузъра.

Работният процес на Mythos в Mozilla
Изображение: Svetni.me / Авторско изображение

Двойна проверка и мащабируемост

За да се гарантира качеството, Mozilla използва втори AI модел, който оценява докладите на първия. Само тези, които получат висока оценка и са доказани чрез автоматизиран срив, стигат до човешките разработчици. От 271 открити бъга, 180 са класифицирани като „sec-high“ (висока степен на опасност), което означава, че биха могли да бъдат експлоатирани чрез просто посещаване на уеб страница.

Въпреки огромния брой открити пропуски, Mozilla не е изисквала отделни CVE идентификатори за всеки от тях, тъй като те са открити вътрешно и са отстранени чрез комбинирани актуализации в Firefox 150. За да докаже легитимността на откритията си, организацията разсекрети 12 пълни доклада в Bugzilla, които показват сложни сценарии за излизане от „пясъчника“ (sandbox escapes) и грешки в паметта, останали незабелязани от традиционните инструменти в продължение на десетилетия.

Според Гринстед, дните на уязвимостите от тип нулев ден са преброени, ако защитниците започнат масово да прилагат тези техники. „Нашият екип напълно прие този подход. Това не е маркетинг, а нов начин за работа в мащаб, който досега бе невъзможен“, обобщава той.

Източници:

[1]: Mozilla says 271 vulnerabilities found by Mythos have “almost no false positives” - Ars Technica