2026-05-07 · ← Radar
Mozilla naprawiła setki błędów Firefoksa z Claude Mythos. Jakość raportów bezpieczeństwa AI właśnie się zmieniła.
Simon Willison udokumentował szczegóły projektu, w którym Mozilla wykorzystała wczesny dostęp do Claude Mythos Preview do utwardzenia Firefoksa. Wyniki są konkretne: w kwietniu 2026 Firefox naprawił 423 błędy bezpieczeństwa, wobec średnich 20 do 30 miesięcznie w ciągu 2025 roku. Wśród znalezisk były błędy liczące 20 i 15 lat.
Raporty bezpieczeństwa AI przeszły od slopu do przydatnego sygnału
Rok temu raporty bezpieczeństwa generowane przez AI były dla maintainerów open source głównie problemem. Ekonomika była asymetryczna: wygenerowanie pozornie poprawnego raportu zajmowało sekundy, odpowiedź na niego godziny. Maintainerzy określali je jako niechciany spam.
Co się zmieniło, według Mozilli, to dwie rzeczy naraz: same możliwości modeli oraz techniki ich sterowania, skalowania i łączenia podczas wyszukiwania luk. W efekcie stosunek sygnału do szumu poprawił się znacząco. Mozilla wprost opisuje tę zmianę jako punkt przełomowy.
Willison zauważa też, że większość prób eksploitacji została zablokowana przez istniejące mechanizmy obronne Firefoksa, co potwierdza wartość podejścia defense-in-depth.
Dla zespołów bezpieczeństwa zmienia to ekonomikę audytu dużych codebases
Tradycyjny audyt bezpieczeństwa większego codebase jest drogi, powolny i zależy od dostępności ekspertów. Jeśli agenci AI potrafią znajdować realne podatności z wystarczającym kontekstem i krokami reprodukcji, równanie się zmienia: audyt można skalować bez liniowego wzrostu kosztów i obejmować nim fragmenty kodu, których nikt nie czytał od lat.
Dwudziestoletni problem XSLT i piętnastoletni błąd w elemencie legend to nie wyniki akademickie. To dziury, które istniały w produkcyjnej przeglądarce, dopóki nie znalazł ich agent AI.
Uprzywilejowany preview, nie ogólnodostępny produkt
Wyniki pochodzą z uprzywilejowanego dostępu do modelu w preview, a nie z ogólnodostępnego produktu. Nie jest jasne, na ile workflow jest odtwarzalny przez zewnętrzne zespoły bez tego samego dostępu, zasobów i wewnętrznej wiedzy o Firefoksie. Duża liczba znalezisk oznaczała też, że maintainerzy musieli przetworzyć dużą partię raportów naraz, nawet jeśli były lepszej jakości.
Przejście od „slopu„ do „przydatnego sygnału“ opisane przez Mozillę jest przekonujące. Pytanie, czy ten sam wynik uzyska się bez dostępu do modelu preview i bez wewnętrznego zespołu bezpieczeństwa, który opracował workflow.
Kluczem będzie odtwarzalność poza uprzywilejowanym preview
Warto obserwować: czy i kiedy podobne wyniki powtórzą się w innych dużych projektach open source z ogólnodostępnymi modelami, i jak ewoluuje wskaźnik fałszywych trafień w trakcie wdrożenia. Jeśli wzorzec utrzyma się poza Mozillą, zacznie to zmieniać standard audytu bezpieczeństwa dla dużych codebases.
Werdykt Lilith
Dwudziestoletni błąd Firefoksa naprawiony przez agenta AI to nie historia marketingowa. To dowód, że audyt bezpieczeństwa można skalować na fragmenty codebase, do których ludzie nigdy nie dotarli. Pozostaje sprawdzić, kto potrafi to powtórzyć bez uprzywilejowanego dostępu.
Link zewnętrzny zostawiam na koniec. Najpierw krótkie wyjaśnienie tutaj, bez polowania po cudzej stronie.
Oryginalne źródło ↗ ↗Ze Słownika