AI teknologi softwareudvikling sikkerhed sårbarheder cyberforsvar Firefox Mozilla bugfix websecurity

AI afslører skjulte sårbarheder i Firefox

Mozilla har for nylig gennemført en hidtil uset sikkerhedsopdatering af Firefox, hvor 423 sikkerhedsfejl blev rettet på blot én måned. Til sammenligning tog det tidligere 14 måneder at rette omkring 420 fejl. Denne pludselige stigning i effektivitet skyldes brugen af AI-værktøjet Claude Mythos Preview fra Anthropic, som har givet Mozilla mulighed for at opdage og håndtere sårbarheder, før angribere kan udnytte dem.

En 20 år gammel fejl blandt de opdagede problemer

Blandt de rettede fejl findes en 20 år gammel XSLT-reentrancy-fejl (Bug 2025977), der kunne udløse en hash-tabel-rehash og efterlade en rå indgangspekker i brug. En anden fejl (Bug 2024437) var en 15 år gammel fejl i HTML-legend-elementet. Disse typer af dybt begravede fejl kan overleve almindelig testning, fuzzing og manuel gennemgang, fordi de gemmer sig i sjældne kanttilfælde, ældre delsystemer eller komplekse interaktioner mellem forskellige dele af browseren.

AI som en gamechanger for sikkerhed

Mozilla har tidligere oplevet, at AI-genererede sikkerhedsrapporter var fyldt med støj og ofte upræcise. Men med forbedrede modeller og en veludviklet pipeline har AI nu vist sig at være en effektiv ressource. Mozilla beskriver en proces, hvor AI’en kan:

  • Styre modellerne mod specifikke kodeområder,
  • Generere reproducerbare testtilfælde,
  • Filtrere støj og dubletter,
  • Prioritere alvorligheden af fundene,
  • Flytte bekræftede fejl videre i sikkerhedsprocessen.

Denne pipeline har været afgørende for at omdanne AI’ens opdagelsesmuligheder til konkrete rettelser og patches. AI’en leverede opdagelserne, mens systemet omkring den sikrede, at rapporterne var præcise og handlingsrettede.

Alvorlige fund i en velundersøgt browser

Firefox er en gammel, højt værdsat browser med en kodebase, der har været gennem omfattende testning af interne teams, eksterne forskere, fuzzere, bug bounty-jægere og angribere i årevis. Alligevel viste April-opdateringen, at der stadig gemmer sig alvorlige sårbarheder, som tidligere var blevet overset. Af de 271 fejl rettet i Firefox 150 var:

  • 180 klassificeret som sec-high,
  • 80 som sec-moderate,
  • 11 som sec-low.

Ifølge Mozillas sikkerhedsrammeværk defineres sec-high som sårbarheder, der kan udløses ved normal brugeradfærd, såsom at besøge en webside. Dette placerer fundene i en alvorlig kategori, selvom Mozilla endnu ikke har fundet beviser for, at de er blevet udnyttet i praksis.

Et skift i cyberforsvar

Denne udvikling viser, hvordan AI nu kan give forsvarere et forspring i forhold til angribere. Ved at integrere AI i sikkerhedsprocessen kan organisationer som Mozilla opdage og rette sårbarheder langt hurtigere end tidligere. Det er et skift, der kan have stor betydning for fremtidens cyberforsvar.

"AI’en gav os opdagelsesmulighederne, men det var systemet omkring den, der gjorde det til virkelighed. Uden den korrekte pipeline ville vi stadig sidde med en bunke upræcise rapporter."
— Mozilla, om brugen af AI i sikkerhedsprocessen

Hvad betyder dette for fremtiden?

Mozillas succes med at integrere AI i sin sikkerhedsproces kan inspirere andre organisationer til at følge trop. Med AI som et værktøj til at opdage og rette sårbarheder hurtigere end nogensinde før, kan vi forvente en ny æra inden for cyberforsvar. Alligevel understreger fundene vigtigheden af fortsat manuel gennemgang og testning, da AI ikke kan erstatte menneskelig ekspertise fuldt ud.

Kilde: CryptoSlate
Sådan holder du ZF 8-trins automatgear i topform
← Forrige

Sådan holder du ZF 8-trins automatgear i topform

 Ty Simpson reagerer på Sean McVays 'sur' pressemøde under NFL-draften 2026
Næste →

Ty Simpson reagerer på Sean McVays 'sur' pressemøde under NFL-draften...