Mozilla har nylig gjennomført en omfattende sikkerhetsoppdatering av Firefox som gir et sjeldent innblikk i hvordan avansert AI kan styrke forsvaret mot cybertrusler. Selskapet løste 423 sikkerhetsfeil i april i år, etter å ha fått tilgang til Claude Mythos Preview – en AI-modell utviklet av Anthropic. Til sammenligning ble det tidligere løst rundt 420 feil over en periode på 14 måneder.
Denne raske oppdagelsen og rettingen av feil viser hvordan forsvarsaktører nå kan identifisere og håndtere sårbarheter før angripere får mulighet til å utnytte dem. Firefox, som er en av verdens mest brukte nettlesere, har gjennomgått omfattende testing gjennom årene. Likevel viste det seg at det fortsatt lå skjulte sårbarheter i koden – noen så gamle som 20 år.
En 20 år gammel bug som overlevde testing
Blant de mest oppsiktsvekkende funnene var Bug 2025977, en 20 år gammel sårbarhet knyttet til XSLT-reentranse. Denne feilen kunne utløse en hash-tabell-rehash, frigjøre minne og etterlate en rå peker i bruk. En annen alvorlig funn var Bug 2024437, en 15 år gammel feil i HTML-legend-elementet. Slike skjulte feil kan overleve vanlig testing, fuzzing og manuell gjennomgang fordi de ofte befinner seg i sjeldne edge-cases eller eldre delsystemer.
AI som revolusjonerer sikkerhetsarbeidet
Mozilla rapporterer at Claude Mythos Preview bidro til å identifisere og rette 271 feil i Firefox 150-utgivelsen. Ytterligere oppdateringer ble lansert i versjonene 149.0.2, 150.0.1 og 150.0.2. Av disse 271 feilene ble 180 klassifisert som sec-high, 80 som sec-moderate og 11 som sec-low.
Selskapet understreker at AI-genererte sikkerhetsrapporter tidligere har vært utfordrende å håndtere. Mange rapporter kunne se troverdige ut, men viste seg å være feilaktige. Dette førte til at utviklere måtte bruke mye tid på å validere funnene. Med forbedrede modeller og en mer strukturert tilnærming har situasjonen endret seg.
Mozilla har utviklet en AI-pipeline som kan:
- Styre modeller mot spesifikke kodeområder
- Generere reproduserbare testtilfeller
- Filtrere ut støy og dubletter
- Vurdere alvorlighetsgraden av funn
- Flytte bekreftede feil inn i sikkerhetslivssyklusen
Modellen gir oppdagelsesmuligheter, mens systemet rundt den sørger for at funnene blir omgjort til bekreftede rapporter og rettelser.
Eksempler på kritiske funn
I den tekniske gjennomgangen som Mozilla publiserte, ble det blant annet avdekket en WebAssembly GC-feil som kunne skape et falskt objekt-primitiv med potensial for vilkårlig lesing eller skriving. I tillegg ble det funnet IPC-racebetingelser som påvirket referanser i foreldreprosessen. Disse funnene viser hvor viktig det er å kombinere menneskelig ekspertise med avansert AI for å sikre robuste systemer.
Firefox har lenge vært en mål for angripere på grunn av sin store brukerbase og komplekse kodebase. At Mozilla nå klarer å identifisere og rette så mange alvorlige feil på kort tid, er et viktig skritt for å sikre brukerne mot fremtidige trusler.
Relaterte artikler
Ripple-ekspert varsler om økende svindel på XRP Ledger – hvordan unngå tap
The XRP Ledger (XRPL) is seeing a drastic rise in fraud attempts targeting its users as the network draws more institutional activity, higher transact...
Bitcoin faller mens S&P 500 når ny topp – hva skiller kryptovalutaen fra aksjemarkedet?
Traders have been treating Bitcoin as a high-beta proxy for the same risk appetite driving Nvidia and the Mag-7, one that should move with equities on...
Trumps Kina-besøk avgjør om Bitcoins $80.000-rykk overlever uken
Bitcoin is hovering just below $80,000 as President Donald Trump arrives in Beijing for a high-stakes meeting with Chinese leader Xi Jinping, turning...
DeFi-prosjekter mister 6 millioner kroner på en uke – nye hacks rammer mindre plattformer
A flurry of relatively small-scale hacks continues to wreak havoc on smaller crypto projects, despite flying under the radar when compared to recent m...
Poly Truth ($PTRUE): Den nye AI-verktøyet som fjerner gjetning fra prediksjonsmarkeder
Prediction markets have been growing fast, from crypto price bets to election forecasting and sports outcomes. But there's a persistent problem most p...
2036: Hva fremtiden bringer – redaktørens refleksjoner
Bitcoin Magazine The 2036 Issue: Letter From The Editor None of us can see the future. We don’t know what 2036 will bring. We all like to tell ourselv...
Circle lanserer $3 milliarder Arc-token – ny rival til Coinbase?
Circle's $222 million ARC token presale has given Wall Street a new way to value the USDC issuer, while raising a harder question for one of crypto’s...
Anthropic varsler: Tokeniserte aksjer er falske – investorer mister penger
Crypto investors keep making mistakes with their Anthropic investments, from paying 8,700% funding rates to buying tokenized securities of non-existen...