bozulması Siber güvenlik aracı olarak yapay zeka Mozilla, Firefox konusunda Anthropic ile yaptığı iş birliğiyle önemli bir ilerleme kaydetti. Sadece birkaç hafta içinde, bir yapay zeka modeli, normalde aylar sürecek uzman insan çalışması gerektirecek bir dizi güvenlik açığını Mozilla'nın açık kaynaklı tarayıcısında tespit edebildi.
Bu deneyin doğrudan etkisi olacak İspanya ve Avrupa'nın geri kalanındaki Firefox kullanıcılarıBu çalışma, dil modellerinin gerçek kod denetimi söz konusu olduğunda günümüzde ne kadar ileri gidebileceğini ve yüz milyonlarca insan tarafından günlük olarak kullanılan yazılımları korumada ne gibi bir rol oynayabileceğini ölçmeye hizmet etmiştir.
Yapay zeka en iyi güvenlik denetçisi olduğunda
Yazılım güvenliğinde, saldırganlardan önce bir güvenlik açığını tespit etmek çok önemlidir: bu, bir felaketin gerçekleşmesi ile gerçekleşmemesi arasındaki fark anlamına gelebilir. milyonlarca kullanıcının verilerini korumak veya verilerini ifşa etmekBu bağlamda Mozilla, alışılmadık bir yaklaşım denedi: Gelişmiş bir yapay zekanın, araştırmacılardan veya siber suçlulardan önce güvenlik açıklarını bulmak için tarayıcısının kaynak kodunu incelemesine izin verdi.
Lansmandan birkaç hafta önce Firefox 148Tarayıcının güvenlik ekibi çarpıcı bir rapor aldı: Antropik Sınır Kırmızı Takımı Şirketin dahili saldırı araştırma grubu, Claude modeli yardımıyla şu bulguyu ortaya çıkardığını iddia etti: bir düzineden fazla doğrulanabilir güvenlik açığı Firefox'un JavaScript motorunda. Bunlar sadece şüpheler değil, somut kanıtlarla desteklenen hatalardı.
Bu alanda yapay zekayı kullanmaya yönelik diğer girişimlerden ayıran şey, raporlamanın kalitesiydi. Her güvenlik açığı, aşağıdakilerle destekleniyordu: minimum tekrarlanabilir test senaryolarıBunlar, güvenlik açığını kesin olarak tetikleyebilen küçük kod parçalarıydı. Bu, Mozilla mühendislerinin sorunun gerçekten var olup olmadığını saatler içinde doğrulamalarına ve belirsiz senaryoları yeniden üretmek için zaman harcamadan yamalar üzerinde çalışmaya başlamalarına olanak sağladı.
Otomatik araçlar tarafından oluşturulan birçok uyarının çöpe atıldığı bir ekosistemde yanlış pozitifler veya hatalı raporlarAnthropic'in yaklaşımı gürültüyü önemli ölçüde azalttı ve faydalı bir sinyal sağladı: daha az hacimli, ancak doğrulanmış ve uygulanabilir bulgular.
Anthropic'in Frontier Red Team'i nedir ve Claude ile nasıl çalışır?
Çağrı Frontier Kırmızı Takımı Anthropic'in, saldırı ve savunma güvenliğinde yapay zeka modellerinin sınırlarını keşfetmeye adanmış birimidir. Amacı sadece modellerin içindeki riskleri değerlendirmek değil, aynı zamanda bunları araştırmaktır. Yapay zekâ, gerçek yazılımlardaki güvenlik açıklarını bulmak için nasıl kullanılabilir? Kötü niyetli kişiler bunu yapmadan önce.
Son aylarda bu ekip, aşağıdaki gibi modellerin işe yarayabileceğini gösterdi. Claude Opus 4.6 koşabilir kontrollü ortamlarda karmaşık ağlara yönelik çok aşamalı saldırılarBu, onların analitik yetenekleri hakkında bir fikir veriyor. Aynı güç, koordineli ve sorumlu bir şekilde, Firefox gibi açık kaynaklı projelerin sorumlu güvenlik açığı bildirim süreçleri kapsamında incelenmesine yönlendirildi.
Mozilla tarayıcısı özelinde, Anthropic bir test çalışmasıyla işe başladı: Claude'u kullanarak... Firefox'un geçmişteki güvenlik açıklarını (CVE'ler) yeniden üretmekModelin, kodun eski sürümlerinde zaten belgelenmiş hata kalıplarını tanıyıp tanıyamayacağını kontrol ettik. Sonuç olumlu oldu, ancak açık bir uyarı da vardı: bu bilgilerin bir kısmı modelin eğitim verilerinde de mevcut olabilir.
Daha da ileri giden Frontier Red Team, işin ilginç kısmına geçti: Yapay zekadan konum belirlemesini istedi. Firefox'un mevcut sürümündeki yeni güvenlik açıklarıYani, henüz herhangi bir kamu veritabanında veya Mozilla'nın dahili takip sistemlerinde listelenmemiş hatalar.
Firefox'un JavaScript motorundaki güvenlik açıkları nasıl keşfedildi?
Başlangıç noktası, tarayıcının JavaScript motoruydu; bu, kritik bir bileşendir çünkü şunlardan sorumludur: Web sayfalarından güvenilmeyen harici kodları çalıştırmakBu katmandaki herhangi bir hata, en kötü durumda, kullanıcının sistemine yönelik bir saldırı için bir geçit haline gelebilir.
Anthropic ve Mozilla'nın açıkladığı gibi, Claude, yaklaşık yirmi dakika içinde ilk kritik zaafını buldu. Analizin başından itibaren. Bu, bir tür başarısızlıktı. use-after-özgürBu, diğer sistem zafiyetleriyle birleştiğinde saldırganın verileri rastgele içerikle değiştirmesine olanak tanıyan bir bellek güvenlik açığı kategorisidir.
Anthropic mühendisleri bu ilk uyarıyı en son tarayıcı sürümüne sahip bir sanal makinede doğrularken, yapay zeka da paralel olarak çalışmaya devam etti. Bu süre zarfında model zaten bir uyarı vermişti. Anormal davranış sergileyen yaklaşık 50 ilave girdiBunların birçoğu daha sonra Mozilla'ya gönderilen test vakalarına dönüştü.
Bu süreç sadece JavaScript motoruyla sınırlı kalmadı. Claude yaklaşık iki hafta boyunca analiz yaptı. yaklaşık 6.000 C++ dosyası ve binlerce ek proje dosyası112 adet benzersiz rapor oluşturuldu. Bu raporlardan, Mozilla güvenlik ekibi tarafından yapılan inceleme sonrasında aşağıdaki raporlar doğrulandı. CVE olarak kayıtlı 22 güvenlik açığı, olan 14'ü yüksek şiddette olarak sınıflandırıldı.Bunlara ek olarak, etkisi daha az olan veya sadece mantıksal hatalardan ibaret olduğu düşünülen yaklaşık 90 arıza daha bulunmaktadır.
Firefox 148 geliştirme döngüsünde tespit edilen tüm güvenlik sorunları giderildi.Bu sürüm artık Avrupa ve dünyanın geri kalanındaki kullanıcılar için kullanılabilir durumda. Daha düşük öncelikli hatalar da giderildi, ancak tek bir sürümde çok fazla değişiklik yapmaktan kaçınmak için bazı ayarlamalar daha sonraki sürümlere ertelendi.
100'den fazla hata tespit edildi ve diğer yapay zekâlara göre daha az yanlış pozitif sonuç elde edildi.
Bu iş birliği boyunca Claude'un analizleri şu sonuçları verdi: 100'den fazla farklı Firefox hatasıBunların hepsinin istismar edilebilir güvenlik açığı olmadığı ortaya çıksa da, bu sayı, Mozilla tarayıcısı gibi olgun ve denetlenmiş projelerin bile önemli sayıda hata gizleyebileceğini göstermektedir.
Etkinin boyutunu göstermek için Mozilla'nın güvenlik ekibi, yapay zekanın sadece iki haftalık test sürecinde şunları başardığını açıkladı: Bir yıl içinde tarayıcıda yamalanan tüm kritik güvenlik açıklarının yaklaşık %20'sine denk gelen, yüksek önem derecesine sahip bir dizi güvenlik açığını belirleyin.Başka bir deyişle, yapay zeka destekli denetim, genellikle aylar süren bir görevi günlere sığdırdı.
Önemli bir husus da yanlış pozitif oranıydı. Avrupa'dakiler de dahil olmak üzere birçok açık kaynak projesi son yıllarda yanlış pozitif sonuçlarla karşılaştı. Düşük kaliteli yapay zeka araçları tarafından oluşturulan rapor dalgalarıBu raporlar genellikle hata ödül programları aracılığıyla ödül arayan kullanıcılar tarafından gönderilir. Var olmayan veya yetersiz tanımlanmış sorunlarla geliştiricileri bunaltırlar.
Bu durumun farkında olan Mozilla, başlangıçta iş birliğine karşı temkinli davrandı. Ancak Frontier Red Team'in yaklaşımı farklı çıktı: Yalnızca sağlam kanıtlarla desteklenen kararlar incelemeye sunuldu.Açık ve net otomatik yeniden üretimler ve bazı durumlarda yapay zeka tarafından oluşturulan ve insanlar tarafından incelenen aday yama önerileri ile birlikte.
Mozilla mühendisleri, yapay zekâ tabanlı raporlara güvenmek için olmazsa olmaz olarak gördükleri üç unsuru vurguladılar: minimum test senaryoları, ayrıntılı kavram kanıtları ve önerilen yamalarBu kombinasyon, bir bulgunun acil müdahale gerektirip gerektirmediğini veya ertelenebileceğini doğrulamak için gereken süreyi önemli ölçüde azaltır.
Yapay zeka keşfettiği güvenlik açıklarından faydalanabilir mi?
Deneyin en hassas noktalarından biri, Claude'un sadece şunlara değil, aynı zamanda şunlara da kabiliyetli olup olmadığını ortaya çıkarmaktı: güvenlik açıklarını bulunama aynı zamanda onları dönüştürmek için işlevsel istismarlarYani, hedef sisteme kötü amaçlı eylemler gerçekleştirebilen saldırılarda.
Anthropic, bu yeteneği kontrollü bir ortamda ölçmeye karar verdi. Ekip, modele Mozilla'ya daha önce bildirilen güvenlik açıkları hakkında bilgi verdi ve modelden, bu açıklardan yararlanmayı amaçlayan bir istismar kodu üretmesini istedi. yerel bir dosyayı okuma ve yazma Bir test makinesinde gerçekleştirilen bir işlem, gerçek bir senaryoda sistemin ciddi şekilde tehlikeye atılması anlamına gelebilir.
Bunu başarmak için birkaç yüz ayrı infaz gerçekleştirildi ve yaklaşık [miktar eksik] yatırım yapıldı. 4.000 ABD doları değerinde API kredisiSonuç incelikliydi: Claude yalnızca şunu üretebildi. İşe yarayacak iki basit yöntem.Üstelik bu durum, modern tarayıcılarda bulunan sanal alan (sandbox) ve diğer güvenlik önlemleri gibi çeşitli koruma mekanizmalarının kasıtlı olarak devre dışı bırakıldığı bir ortamda gerçekleşti.
Mozilla, gerçek dünya koşullarında Firefox'un güvenliğinin ihlal edilmesinin genellikle şunları gerektirdiğini vurguluyor: birden fazla güvenlik açığını birbirine bağlayarak ve birden fazla savunma katmanını atlayarakTek bir güvenlik açığı bulmak, hatta yüksek önem derecesine sahip bir açık bile olsa, kullanıcının sistemini ele geçirmek için nadiren yeterlidir; bu da şu anda bu araçların doğrudan saldırı potansiyelini sınırlamaktadır.
Bununla birlikte, Anthropic, bir dil modelinin, yalnızca birkaç durumda ve sınırlı koşullar altında bile olsa, şu yeteneğe sahip olmasını önemli bulmaktadır: modern bir tarayıcı için otomatik olarak bir güvenlik açığı oluşturmakŞirket, değerlendirme modelleri ve yöntemleri gelişmeye devam ettikçe, tespit etme ile istismar etme arasındaki bu farkın daralabileceği konusunda uyarıyor.
Mozilla, yapay zekayı güvenlik protokollerine entegre ediyor.
İşbirliğinin başarısının ardından, Mozilla, yapay zeka destekli analizi düzenli güvenlik iş akışına entegre edeceğini doğruladı. Firefox için. Vakfın ekipleri, kodun kritik alanlarındaki hataları ayıklamak, yama incelemesi yapmak ve güvenlik açığı kalıplarını tespit etmek için Claude ile dahili olarak denemeler yapmaya çoktan başladı.
Avrupa'da güçlü bir kullanıcı ve geliştirici ağına sahip olan kuruluş, bu teknolojiyi bir yol olarak görüyor. gizlilik ve güvenlik korumasını güçlendirmekBunlar, Firefox projesinin kimliğinin bir parçasını oluşturan temel unsurlardır. Açık kaynaklı bir tarayıcı olarak, kod tabanı hem bağımsız araştırmacılar hem de Anthropic'in kendi yapay zekası gibi otomatikleştirilmiş aracılar tarafından denetlenebilir.
Mozilla için kilit nokta, mevcut yapısını korumak olacak. Otomasyon ve insan incelemesi arasındaki dengeYapay zekâ modelleri hata tespitini hızlandırıp düzeltmeler önerebilse de, vakıf, ister insan ister makine tarafından yapılmış olsun, her türlü yamanın Avrupa ve dünyanın geri kalanındaki vatandaşlar tarafından kullanılan tarayıcıya entegre edilmeden önce aynı düzeyde teknik incelemeden geçmesi gerektiğinde ısrar ediyor.
Bu deneyim, İspanya'da veya Avrupa Birliği içinde geliştirilenler de dahil olmak üzere diğer yazılım projeleri için de pratik bir rehber niteliği taşımaktadır: Yapay zekâ tabanlı raporların kabul görmesi için, belirli şartların talep edilmesi tavsiye edilir. tekrarlanabilirliğe dair açık kanıt ve bu tür açıklamalar için özel kanallar oluşturarak geleneksel hata izleme sistemlerinin aşırı yüklenmesini önlemek.
Avrupa'daki geliştiriciler ve teknoloji şirketleri için dersler
Firefox'u çevreleyen medya çılgınlığının ötesinde, Anthropic ve Mozilla arasındaki işbirliği, bir dizi önemli sonuca yol açıyor. yeni kurulan şirketler, teknoloji KOBİ'leri ve büyük Avrupa şirketleri Kendi yazılımlarını veya dijital hizmetlerini geliştirenler.
En açık olanlardan biri şudur ki Yapay zeka destekli kod denetimi ekonomik olarak uygulanabilir hale geldi.Daha önce haftalarca süren uzman ekip çalışmalarını gerektiren bir işlem, artık saatler veya günler içinde otomatik bir ön tarama ile gerçekleştirilebiliyor ve bu da kapsamlı bir manuel incelemeye kıyasla çok daha düşük bir maliyete denk geliyor.
Bir diğer ders de şudur ki... Algılama hızı, insan düzeltme kapasitesini aşmaya başlıyor.Claude gibi araçlar hızla düzinelerce potansiyel güvenlik açığını bulabilir, ancak asıl darboğaz, iç ekiplerin sistemin diğer bölümlerini bozmadan bu sorunları doğrulama, önceliklendirme ve yamalama yeteneğinde yatmaktadır.
Ayrıca şu da açıktır ki Açık kaynak, garantili güvenlik anlamına gelmez.Ancak, önemli bir avantaj sunuyor: şeffaflık. Avrupa'da gizliliğe odaklanmasıyla çok popüler olan Firefox gibi projeler, hem topluluğun hem de otomatik aracıların kodu sürekli olarak incelemesine olanak tanıyor; bu, kapalı çözümlerde imkansız bir şey.
Birçok kuruluş için, yapay zekayı geliştirme süreçlerine entegre etmek (örneğin, otomatik analitiği CI/CD aşamalarına dahil etmek), önemli bir adım haline gelebilir. Mevzuat uyumluluğunu gösterirken ayırt edici faktörBu durum, siber güvenlik ve kritik yazılımlar konusunda Avrupa standartlarının gelecekte uygulanmasıyla giderek daha da önem kazanmaktadır.
Aynı zamanda bu olay, saldırganların da benzer teknolojilere erişebildiğini hatırlatıyor. Şu anki avantaj savunma tarafında gibi görünüyor.Yapay zekâ, kusurları tespit edip düzeltmede, onları istismar etmekten daha iyidir; ancak bu avantajın uzun yıllar süreceğini kimse garanti olarak görmez.
Bu senaryoda, Avrupa şirketlerindeki güvenlik yöneticileri (bankalardan e-ticaret platformlarına veya dijital hizmetlere kadar) bu araçları deneysel bir ek özellik olarak değil, birer araç olarak görmeye başlıyorlar. yazılım koruma stratejilerinin bir diğer parçası.
Firefox ve Anthropic fiyaskoları, iyi yönlendirilmiş ve denetlenen bir yapay zeka modelinin nasıl üst düzey bir güvenlik denetçisi olarak hareket edebileceğini gösteriyor: büyük kod tabanlarını inceleyebilir, karmaşık hataları tespit edebilir ve çok hızlı bir şekilde çözümler önerebilir. Aynı zamanda, yazılım ve tehdit evriminin hızının sürekli arttığı bir ortamda, nihai kararın hala insan ekiplerine ait olduğunu, hangi yamaların uygulanacağına, nasıl uygulanacağına ve hangi önceliklerle uygulanacağına karar vermeleri gerektiğini de açıkça ortaya koyuyor.
