Firefox lost 20 jaar oude bug op met AI: 423 beveiligingsfouten in één maand opgelost

AI versnelt beveiligingsupdates: Firefox lost 423 bugs op in één maand

Mozilla heeft met behulp van Claude Mythos Preview van Anthropic in april 423 beveiligingsfouten in Firefox opgelost. Ter vergelijking: in de voorgaande 14 maanden werden ongeveer 420 bugs verholpen. Deze snelle oplossing toont aan hoe kunstmatige intelligentie de beveiliging van software aanzienlijk kan versnellen, zelfs in een volwassen en intensief getest browsersysteem zoals Firefox.

Diepgewortelde fouten uit het verleden

Onder de opgeloste bugs bevonden zich twee opmerkelijke voorbeelden:

• Bug 2025977: Een 20 jaar oude XSLT-reentrancy fout, waarbij key()-aanroepen een hash-tabel opnieuw konden ordenen, geheugen vrijgaven en een ongeldige pointer achterlieten.
• Bug 2024437: Een 15 jaar oude kwetsbaarheid in het HTML-legend-element.

Dergelijke fouten blijven vaak onopgemerkt omdat ze zich bevinden in zeldzame randgevallen, verouderde subsystemen of complexe interacties tussen verschillende delen van de browser. Zelfs met jarenlange fuzzing, handmatige reviews en bug bounty-programma’s kunnen ze jarenlang bestaan.

AI als krachtige bondgenoot

Mozilla gebruikte Claude Mythos Preview om 271 bugs in Firefox 150 te identificeren en op te lossen. Daarnaast werden aanvullende fixes uitgebracht in versies 149.0.2, 150.0.1 en 150.0.2. Van deze 271 bugs werden:

• 180 geclassificeerd als sec-high (ernstige beveiligingsrisico’s)
• 80 als sec-moderate (matige risico’s)
• 11 als sec-low (lage risico’s)

De AI-modellen speelden een cruciale rol in het ontdekken van deze fouten, maar het succes hing ook af van een goed georganiseerd systeem. Mozilla bouwde een pijplijn die de AI-modellen richting specifieke codegebieden stuurde, reproduceerbare testgevallen genereerde, ruis filterde en de ernst van de bevindingen bepaalde. Dit systeem zorgde ervoor dat alleen geldige en relevante bugs werden omgezet in beveiligingsupdates.

Waarom dit resultaat baanbrekend is

Firefox is een van de meest onderzochte browsers ter wereld. Het codebase is al jarenlang onderworpen aan:

• Interne securityteams
• Externe onderzoekers
• Fuzz-testing
• Bug bounty-programma’s
• Pogingen tot exploitatie door aanvallers

Toch bleken er nog steeds diepgewortelde fouten aanwezig te zijn. De snelle oplossing in april toont aan dat AI niet alleen de ontdekking van beveiligingslekken versnelt, maar ook de validatie en patching ervan efficiënter maakt. Dit is een belangrijke stap voorwaarts in de strijd tegen cyberdreigingen.

Voorbeeld van een kritieke bug: WebAssembly GC

Een van de ontdekte kwetsbaarheden betrof een fout in WebAssembly GC, die een fake-object primitive kon creëren. Deze fout bood potentiële mogelijkheden voor arbitraire lees- of schrijfoperaties, evenals IPC-racecondities die de hoofdprocessen van de browser konden beïnvloeden. Dergelijke fouten zijn bijzonder gevaarlijk omdat ze kunnen leiden tot volledige systeemcompromissie.

Conclusie: AI als gamechanger in cybersecurity

De recente prestatie van Mozilla toont aan dat kunstmatige intelligentie een revolutionaire impact kan hebben op de beveiliging van software. Door AI in te zetten voor het opsporen en oplossen van beveiligingslekken, kunnen ontwikkelaars niet alleen tijd besparen, maar ook de algehele veiligheid van hun producten aanzienlijk verbeteren. Dit is vooral relevant voor complexe systemen zoals browsers, waar traditionele methoden zoals fuzzing en handmatige reviews niet altijd voldoende zijn.

Mozilla’s aanpak demonstreert dat AI niet alleen een hulpmiddel is voor aanvallers, maar ook een krachtig wapen kan zijn in de handen van verdedigers. De toekomst van cybersecurity lijkt hiermee een belangrijke stap vooruit te zetten.