Anthropic Mythos помогла найти в Firefox десятки серьёзных уязвимостей — Mozilla меняет подход к безопасности

Mozilla сообщает, что модель Anthropic Mythos выявила множество высокошкальных уязвимостей в Firefox, включая баги в песочнице и ошибку парсинга HTML, существовавшую около 15 лет;

Исследователи безопасности Mozilla заявили, что модель Anthropic Mythos обнаружила десятки серьёзных уязвимостей в браузере Firefox, включая ошибки, просуществовавшие в коде более десяти лет; это ускорило приток исправлений и заставило команду пересмотреть рабочие практики. В опубликованном 7 мая 2026 года посте команда подробно описала, как применяла модель для поиска и подтверждения багов и почему такие инструменты меняют ландшафт безопасности ПО.

Mozilla перечислила результаты анализа по ряду конкретных случаев: команда представила 12 изученных багов, среди которых две необычные уязвимости в механизме «песочницы» и ошибка парсинга HTML, существовавшая около 15 лет. По словам команды, применение модели совпало с резким ростом числа исправлений — в апреле Firefox выпустил 423 исправления безопасности против 31 исправления в тот же месяц годом ранее; Mozilla связывает эту разницу с использованием новых техник на базе моделей вроде Mythos.

По описанию исследователей, Mythos не просто указывает на потенциальные дефекты: модель генерирует компрометирующий патч и затем моделирует атаку на наиболее защищённые части браузера, то есть обнаружение требует многошаговой творческой последовательности действий. Такой подход позволил выявлять бреши в песочнице, которые традиционно трудно находить даже опытным исследователям, и привести к отчётам, превышающим по объёму находки, обнаруживаемые через существующие программы вознаграждений — в том числе с выплатами до $20 000 за баги песочницы.

Mozilla отмечает, что текущее поколение инструментов на базе ИИ заметно улучшилось за последние шесть месяцев: модели выросли в возможностях, а рабочие процессы дополнились более строгими методиками. В частности, агентные системы научились оценивать собственные гипотезы и отфильтровывать низкокачественные результаты, что существенно снизило долю ложных срабатываний по сравнению с предыдущими инструментами.

команда подчёркивает, что ИИ не заменяет человеческий контроль: модели используются для генерации черновых патчей и предварительного анализа, но окончательные исправления по-прежнему пишут и рецензируют люди — один инженер готовит патч, другой проводит ревью. Опыт Mozilla демонстрирует, что современные ИИ-инструменты способны вскрывать глубокие и давние ошибки, но их выводы требуют тщательной проверки и интеграции в существующие процессы; вопросы о долгосрочных изменениях в балансе сил в кибербезопасности и необходимых новых практиках контроля остаются открытыми.