gik|iewicz

Mozilla zidentyfikowała 423 luki bezpieczeństwa w Firefoxie podczas jednego miesiąca intensywnych testów z modelem Claude Mythos od Anthropic. Błędy ukryte w kodzie od kilkunastu lat wreszcie ujrzały światło dzienne. TechCrunch opisuje to jako moment przełomowy dla branży.

TL;DR: Claude Mythos od Anthropic pomógł Mozilli wykryć 423 luki w Firefoxie w ciągu jednego miesiąca. Część błędów tkwiła w kodzie od kilkunastu lat. Model AI przeszedł od testowania pojedynczych funkcji do analizy całych architektur bezpieczeństwa. Mozilla zmienia teraz podejście do audytów kodu na stałe.

Jak Anthropic stworzyło Mythos i co to narzędzie potrafi?

Claude Mythos to wyspecjalizowana wersja modelu Claude, dostosowana do analizy bezpieczeństwa kodu na dużą skalę. Anthropic zaprojektowało to narzędzie z myślą o wykrywaniu luk, które tradycyjne skanery pomijają. Model analizuje kontekst całej architektury, a nie tylko pojedyncze linie kodu. W rezultacie znajduje błędy logiczne, które nie mają charakteru typowych podatności.

Zgodnie z informacjami ITwiz, Mythos pomógł wykryć w Firefoxie szereg krytycznych luk bezpieczeństwa, w tym błędy ukryte w kodzie od kilkunastu lat. To potwierdza, że generatywna AI potrafi identyfikować wzorce niedostępne dla ludzkich audytorów i klasycznych narzędzi.

Mozilla podjęła współpracę z Anthropic, ponieważ tradycyjne metody audytu nie nadążały za tempem zmian w kodzie Firefoksa. Skaner Mythos działa szybciej niż zespół audytorów. Co więcej, potrafi pracować 24/7 bez spadku jakości analizy. Dlatego Mozilla zintegrowała Mythos ze swoim potokiem CI/CD.

Anthropic pozycjonuje Mythos jako narzędzie defensywne. Z kolei eksperci cytowani przez CNBC zauważają, że technologia ta wywołała „histerię” w sektorze bankowym i rządowym. Podobne obawy pojawiły się już wcześniej w kontekście NSA używa Mythos od Anthropic pomimo czarnej listy.

Dlaczego Firefox miał 423 luki do naprawienia w jednym miesiącu?

Liczba 423 poprawek pochodzi z raportu Antyweb i dotyczy jednego miesiąca intensywnej współpracy Mozilli z Mythosem. Otóż duża część tych luk istniała w kodzie od lat – po prostu nikt ich wcześniej nie zauważył. Mythos przeszedł przez miliony linii kodu Firefoksa systematycznie, sekcja po sekcji.

Tradycyjne audyty bezpieczeństwa opierają się na znanych wzorcach podatności (CVE, CWE). Jednakże Mythos analizuje semantykę kodu – rozumie, co dany fragment robi, a nie tylko jak jest napisany. Dzięki temu wykrywa błędy logiczne w zarządzaniu pamięcią, obsługiwaniu wyjątków i walidacji danych wejściowych.

Część z 423 poprawek dotyczyła krytycznych podsystemów Firefoksa:

• Silnik renderowania strony i parser HTML
• Zarządzanie pamięcią w silniku JavaScript
• Obsługa protokołów sieciowych
• System uprawnień rozszerzeń
• Sandboxowanie procesów potomnych
• Obsługa certyfikatów SSL/TLS
• Walidacja danych wejściowych w formularzach
• Mechanizm izolacji kart przeglądarki

Powyższa lista pokazuje zakres problemów. Żaden ludzki audytor nie jest w stanie przeanalizować takiej liczby podsystemów w tak krótkim czasie.

ITwiz potwierdza, że Mythos pomógł Mozilli znaleźć krytyczne luki w Firefoxie sprzed kilkunastu lat. To oznacza, że część kodu przetrwała od wczesnych wersji przeglądarki bez odpowiedniego audytu bezpieczeństwa.

Czym różni się Mythos od standardowych skanerów podatności?

Standardowe skanery (SAST, DAST) opierają się na predefiniowanych regułach i sygnaturach. Mythos natomiast rozumie kontekst biznesowy kodu. Na przykład potrafi rozpoznać, że dany fragment odpowiedzialny za autoryzację użytkownika ma luki logiczne, nawet jeśli formalnie spełnia standardy kodowania.

Podejście to ma jednak swoje ograniczenia. Business Insider przytacza głosy ekspertów, którzy twierdzą, że Mythos może być „marketingową zagrywką wykorzystującą strach”. Z drugiej strony, konkretne rezultaty Mozilli – 423 poprawki – trudno uznać za czysty marketing.

Różnica w kosztach wynika z wymagań obliczeniowych modelu. Anthropic oferuje Mythos jako usługę enterprise, co ogranicza dostępność dla mniejszych firm. Podobne modele defensywne opisywaliśmy w kontekście OpenAI prezentuje GPT-5.4-Cyber, model AI do defensywnej cyberbezpieczeństwa – 9to5Mac.

Co Mozilla zmienia w swoim podejściu do bezpieczeństwa po wdrożeniu Mythosa?

Mozilla zintegrowała Mythosa ze swoim potokiem CI/CD, co oznacza ciągłą analizę kodu przy każdym commicie. Przede wszystkim zespół bezpieczeństwa Mozilli przeszedł z modelu „audyt po fakcie” na model „audyt na bieżąco”. Każda zmiana w kodzie Firefoksa jest teraz analizowana przez Mythosa przed scaleniem z główną gałęzią.

TechCrunch opisuje to jako fundamentalną zmianę filozofii bezpieczeństwa w Mozilli. Zamiast reagować na zgłoszone podatności, organizacja proaktywnie szuka luk przed wydaniem nowej wersji przeglądarki.

Zmiana dotyczy również sposobu, w jaki Mozilla traktuje rozszerzenia. Mythos analizuje kod rozszerzeń pod kątem bezpieczeństwa przed dopuszczeniem ich do dystrybucji. To bezpośrednio wpływa na użytkowników opisanych w artykule o Instalowanie każdej* rozszerzenia do Firefoksa.

Mozilla planuje rozszerzyć współpracę z Anthropic na inne projekty, w tym Thunderbirda i Firefox Focus. Co więcej, organizacja rozważa udostępnienie narzędzi opartych na Mythosie społeczności open source. Taki ruch mógłby podnieść standardy bezpieczeństwa w całym ekosystemie.

Jak reaguje branża na sukces Mythosa w Firefoxie?

TechCrunch raportuje, że sukces Mythosa w Firefoxie wywołał reakcję łańcuchową w branży technologicznej. Firmy takie jak Google i Microsoft rozpoczęły negocjacje z Anthropic w sprawie licencji na technologię. Ponadto sektor bankowy i rządowy, opisywany przez CNBC jako ogarnięty „histerią”, naciska na natychmiastowe wdrożenia podobnych rozwiązań. Skuteczność udowodniona przez Mozillę stała się głównym argumentem sprzedażowym.

CNBC podkreśla, że Mythos wywołał „histerię” w sektorze bankowym i rządowym. Sukces Mozilli z 423 poprawkami udowodnił, że narzędzie radzi sobie z zaawansowanymi błędami logicznymi. W rezultacie organizacje te muszą teraz zmierzyć się z faktem, że ich własne systemy mogą zawierać podobne, wieloletnie luki.

Business Insider przytacza głosy sceptyków twierdzących, że Mythos to „marketingowa zagrywka wykorzystująca strach”. Jednakże konkretne rezultaty Mozilli trudno podważyć. Model wykrył błędy ukryte w kodzie od kilkunastu lat – to fakty, nie obietnice. Dlatego większość ekspertów ds. bezpieczeństwa traktuje technologię poważnie.

Reakcja branży obejmuje kilka kluczowych obszarów:

• Negocjacje licencyjne z Anthropicem dotyczące dostępu enterprise
• Presja na regulatorów w sprawie standardów audytu AI
• Inwestycje w wewnętrzne zespoły ds. bezpieczeństwa AI
• Szybkie audyty własnych systemów po wzorze Mozilli
• Współpraca konkurentów w ramach programów bug bounty

Jakie błędy wykrywa Mythos, których nie znajdzie człowiek?

ITwiz potwierdza, że Mythos pomógł wykryć w Firefoxie błędy ukryte w kodzie od kilkunastu lat. Tradycyjni audytorzy sprawdzają kod liniowo, opierając się na znanych wzorcach podatności. Z kolei Mythos analizuje semantykę całych podsystemów, znajdując błędy logiczne w interakcjach między komponentami. Na przykład problem w zarządzaniu pamięcią silnika JavaScript mógł przejść niezauważony przez dekadę.

Człowiek audytor analizuje średnio kilkaset linii kodu na godzinę ze spadkiem koncentracji. Model AI utrzymuje stały poziom analizy niezależnie od wielkości kodu. Co więcej, Mythos potrafi symulować ścieżki wykonania programu, testując miliony kombinacji danych wejściowych. Zatem wykrywa warunki brzegowe, o których programista nie pomyślał.

TechCrunch opisuje przypadek luki w systemie izolacji kart Firefoksa. Błąd polegał na niewłaściwym przekazywaniu uprawnień między procesami potomnymi. Choć formalnie kod spełniał standardy bezpieczeństwa, to logicznie tworzył wektor ataku. Mythos zidentyfikował ten problem, analizując przepływ danych między komponentami.

Ile kosztuje wdrożenie takiego narzędzia i kto może na to pozwolić?

Anthropic oferuje Mythos jako usługę enterprise, co oznacza koszty znacznie przewyżające standardowe narzędzia SAST/DAST. TechCrunch informuje, że model wymaga potężnej infrastruktury obliczeniowej. Wobec tego dostęp jest ograniczony do dużych korporacji i organizacji o odpowiednich budżetach. Małe firmy i projekty open source zostają z boku.

Google planuje zainwestować do 40 mld USD w Anthropic, co sugeruje skalę kosztów operacyjnych związanych z utrzymaniem modeli takiej wielkości. Te inwestycje przekładają się na ceny licencji dla klientów enterprise. Dlatego Mythos pozostaje narzędziem premium, niedostępnym dla większości deweloperów.

Mozilla otrzymała dostęp do Mythosa w ramach partnerstwa strategicznego. TechCrunch nie podaje szczegółów finansowych tej umowy. Jednakże organizacje non-profit rzadko dysponują budżetami na narzędzia enterprise. Prawdopodobnie Anthropic udostępnił technologię w celach marketingowych – 423 poprawki to potężna reklama.

Jak w praktyce wygląda integracja Mythosa z procesem deweloperskim?

Mozilla zintegrowała Mythosa ze swoim potokiem CI/CD, co oznacza automatyczną analizę przy każdym commicie. TechCrunch opisuje to jako przejście od modelu „audyt po fakcie” do ciągłej weryfikacji. Każda zmiana w kodzie Firefoksa przechodzi przez Mythosa przed scaleniem z główną gałęzią. To spowalnia proces deweloperski, ale eliminuje podatności we wczesnej fazie.

Proces integracji wymagał od Mozilli dostosowania infrastruktury CI/CD. Mythos potrzebuje więcej czasu na analizę niż tradycyjne skanery – godziny zamiast minut. Co więcej, zespół musiał zoptymalizować potok, aby uniknąć wąskich gardeł. Mimo to rezultaty uzasadniają inwestycję czasu.

Technologia ta znajduje również zastosowanie w audycie rozszerzeń. Zmiana dotyczy bezpośrednio użytkowników opisanych w artykule o Instalowanie każdej* rozszerzenia do Firefoksa. Mythos analizuje kod rozszerzeń pod kątem bezpieczeństwa przed dopuszczeniem ich do dystrybucji, co podnosi standardy całego ekosystemu.

Często zadawane pytania

Ile dokładnie luk bezpieczeństwa wykrył Mythos w Firefoxie?

Mythos pomógł Mozilli zidentyfikować 423 luki bezpieczeństwa w ciągu jednego miesiąca intensywnych testów (Antyweb, 2026). Część z nich tkwiła w kodzie od kilkunastu lat – rozpocznij audyt własnych systemów od podsystemów o najdłuższym stażu w kodzie.

Czy Mythos zastąpi ludzkich audytorów bezpieczeństwa?

Nie zastąpi – Mozilla zintegrowała Mythosa jako narzędzie wspomagające zespół, nie zastępujące go (TechCrunch, 2026). Model wykonuje ciężką pracę analizy, ale ostateczna weryfikacja i decyzje należą do inżynierów bezpieczeństwa.

Jakie firmy mogą pozwolić sobie na wdrożenie Mythosa?

Anthropic oferuje Mythos jako usługę enterprise z kosztami znacznie przewyższającymi standardowe skanery bezpieczeństwa (TechCrunch, 2026). Małe firmy powinny rozważyć tańsze alternatywy lub partnerstwa strategiczne, podobne do umowy zawartej przez Mozillę.

Czy technologia Mythosa jest dostępna dla projektów open source?

Mozilla rozważa udostępnienie narzędzi opartych na Mythosie społeczności open source, ale na razie technologia pozostaje rozwiązaniem enterprise (TechCrunch, 2026). Projekty open source powinny monitorować komunikaty Mozilli i planować integrację po ewentualnym udostępnieniu.

Podsumowanie

Współpraca Mozilli z Anthropic pokazuje pięć kluczowych wniosków dla branży:

• AI wykrywa błędy logiczne niedostępne dla tradycyjnych skanerów i ludzkich audytorów
• 423 poprawki w jednym miesiącu dowodzą skuteczności modelu w rzeczywistych warunkach produkcyjnych
• Przejście z modelu „audyt po fakcie” na ciągłą analizę zmienia filozofię bezpieczeństwa
• Koszty enterprise ograniczają dostępność technologii dla mniejszych firm i projektów open source
• Sektor bankowy i rządowy musi zmierzyć się z faktem, że ich systemy mogą zawierać podobne wieloletnie luki

Jeśli interesuje Cię wpływ AI na bezpieczeństwo i rozwój technologii, śledź kolejne analizy na blogu. Zagadnienia związane z inwestycjami w Anthropic opisywałem w artykule Google planuje zainwestować do 40 mld USD w Anthropic. Kwestie dostępności technologii AI poruszyłem z kolei w tekście 12-miesięczne okno TechCrunch.