Mozilla подробнее рассказала, как использует AI-модель Anthropic Mythos для поиска уязвимостей в Firefox. По данным компании, за два месяца такой подход помог обнаружить 271 проблему безопасности. Главное заявление Mozilla звучит довольно смело: у найденных багов, по словам инженеров, было «почти ноль ложных срабатываний».

Это важно, потому что к AI-инструментам для поиска уязвимостей до сих пор относятся с большим недоверием. Раньше многие модели могли генерировать красивые и убедительные отчёты о багах, но при ручной проверке выяснялось, что значительная часть деталей просто придумана. Разработчикам приходилось тратить время на разбор таких сообщений, и польза от автоматизации становилась спорной.

В случае Mozilla ключевым отличием стал не только сам Mythos, но и специальный «harness» — программная обвязка вокруг модели. Она направляет AI по конкретным шагам: даёт задачу, позволяет работать с файлами, запускать тесты, использовать инструменты разработчиков Firefox и проверять результат. По сути, модель не просто «рассуждает о коде», а пытается доказать проблему через воспроизводимый тест.

Для поиска проблем с безопасностью памяти Mozilla использовала специальную сборку Firefox с санитайзерами. Если AI подбирал тестовый случай, например HTML-код, который приводил к падению браузера из-за небезопасного состояния памяти, это становилось сильным сигналом. Затем результат дополнительно оценивался второй LLM-моделью, а уже после этого его проверяли разработчики.

Из 271 найденной проблемы 180 получили уровень sec-high — это высокая внутренняя оценка Mozilla для уязвимостей, которые могут быть использованы при обычном поведении пользователя, например при открытии веб-страницы. Ещё 80 проблем отнесли к sec-moderate, а 11 — к sec-low. Mozilla также открыла отчёты Bugzilla по 12 найденным уязвимостям, чтобы показать реальные примеры.

При этом дискуссия вокруг таких заявлений не закрыта. Критики могут справедливо спрашивать, насколько репрезентативны опубликованные примеры и не выбран ли для демонстрации только самый удачный набор. Сам источник тоже подчёркивает, что вокруг AI в безопасности много шума и маркетинга. Но в данном случае интересен сам подход: AI работает не отдельно от инженерного процесса, а внутри уже существующей системы тестирования, проверок и подтверждения багов.

Такой опыт может быть полезен разработчикам браузеров, крупных open-source-проектов и команд, которые занимаются безопасностью сложного ПО. Но воспринимать это как «AI теперь сам всё найдёт» пока рано. Судя по описанию, результат появился благодаря сочетанию модели, инфраструктуры Mozilla, тестовых сборок, дополнительных проверок и участия инженеров.

История показывает более зрелый вариант применения AI в программировании. Здесь модель не просто пишет отчёт, а работает с тестами и проверяемыми сигналами. Это снижает риск галлюцинаций и делает результат ближе к обычному инженерному процессу. Но полностью доверять таким системам без проверки всё равно нельзя.

Мне кажется, важная часть этой истории не в громкой фразе про «почти ноль ложных срабатываний», а в том, как Mozilla встроила AI в реальные инструменты разработки. Сам по себе чат-бот для поиска уязвимостей легко превращается в генератор подозрительных отчётов. А вот связка с тестами, санитайзерами и понятным критерием успеха выглядит гораздо практичнее. При этом хорошо, что к таким заявлениям сохраняется скепсис: в безопасности лучше перепроверить лишний раз, чем поверить красивой демонстрации.

Источник: Ars Technica
Дата источника: 2026-05-07