AI našla v kódu Firefoxu chyby staré deset let, Mozilla je v šoku
Bezpečnostní tým Mozilly zažil menší otřes. Model Mythos od Anthropicu jim naservíroval stovky kritických chyb, které v kódu Firefoxu ležely roky. Tohle není další AI hračka.
Závrať z umělé inteligence
Vývojáři v Mozille nedávno zažili něco, co sami popsali jako „závrať“. Důvodem nebyl deadline ani tlak managementu, ale výsledky skenování jejich kódu. Nasazení AI modelu Mythos od Anthropicu odhalilo stovky bezpečnostních děr ve Firefoxu. Nešlo o žádné drobnosti.
Čísla, která mluví za vše
Jen pro kontext. Před rokem, v dubnu 2025, Mozilla opravila 31 chyb. Letos v dubnu, po analýze od Mythosu, jich bylo 423. To je víc než desetinásobek. Vše odstartoval test s předchůdcem Mythosu, modelem Claude Opus 4.6, který během dvou týdnů našel 22 zranitelností, z toho 14 kritických.
Jak to vlastně funguje
Mythos není jen glorifikovaný fuzzer, který do systému sype náhodná data. Představte si ho jako experta, který si pročetl každou učebnici o zabezpečení, analyzoval tisíce historických CVE a teď prochází váš kód řádek po řádku s kontextuálním pochopením.
Hledá vzorce, které vedly k průšvihům v minulosti. Nejde o prosté porovnávání textu, ale o pochopení logiky a datových toků. Je to jako rozdíl mezi kontrolou pravopisu a redaktorem, který chápe smysl vět.
Use-After-Free pro laiky
Jednou z nalezených chyb byla i notoricky známá „Use-After-Free“ v JavaScriptovém enginu. Je to jako když hoteliér dá hostovi klíč od pokoje, host se odhlásí, ale klíč zůstane aktivní. Nový útočník pak může ten starý klíč použít a dostat se do pokoje, kde už je někdo jiný.
Mythos dokázal takovou chybu nejen najít za 20 minut, ale i navrhnout opravu a demonstrovat exploit, který četl a zapisoval lokální soubory. Tohle je úplně jiná liga než běžné statické analyzátory.
Konec bug bounty lovců?
Zprávy zmiňují, že Mythos překonal lidské experty v hledání chyb v sandboxu. To je logické. AI se neunaví, projde miliony řádků kódu a systematicky kontroluje každou permutaci, což je pro člověka neúnosné. Neznamená to konec bezpečnostních expertů.
Spíš to posouvá jejich práci. Místo hledání jehel v kupce sena se teď mohou soustředit na ověřování nálezů AI a na hledání komplexních, vícevrstvých útoků, které vyžadují kreativitu. AI dělá hrubou práci, člověk tu chytrou.