En buggbott baserad på den omtalade stora språkmodellen Mythos från AI-jätten Anthropic har hittat inte mindre än 271 buggar i webbläsaren Mozilla Firefox. Men Mozillas teknikchef drabbas inte av panik. Tvärtom. Elektroniktidningen förklarar varför.
– Nolldagarna är räknade, skriver han på Mozillas blog.
Så här tänker han: att han hittade buggarna först.
De 271 sårbarheterna skulle ha funnits i version 150 av Firefox. Men ingen kommer nu att kunna attackera dessa numera osårbarheter.
Mythos har marknadsförts som ett hot mot cybersäkerheten. Det har gett krigsrubriker. Men Mozillas teknikchef Bobby Holley vänder på steken – det kan lika gärna bli tvärtom.
– Försvararna har nu en avgörande chans att vinna, säger han.
Det är inte bara angripare som gynnas av snabb automatisk felsökning. Bobby Holley tror att LLM-baserade buggbottar kommer att väga över säkerhetsbalansen till försvararnas fördel.
Han berättar om den svindlande känslan i hans eget team när Mythos började spotta ur sig bugg efter bugg.
– Allt eftersom fler team får tillgång till samma kapacitet kommer de att uppleva samma svindel som vi – en enda sådan bugg hade gett code red år 2025.
– Det kan krävas att man lägger allt åt sidan och fokuserar på ett spår. Men det finns ljus i tunneln. Vi har vänt utvecklingen. Vi anar att framtiden kan vara klart mer positiv än att bara lyckas hålla jämna steg.
Deepmind uttryckte samma förhoppning i oktober i fjol och har en ännu större plan: att hindra buggarna från att ens uppstå genom att patcha kod som ”luktar illa” – som ser ut att kunna bli sårbar en vacker dag.
Mozilla har använt automatiska felfinnare åtminstone sedan februari. Då använde Mozilla verktyg baserade på Opus 4.6 – samma LLM som du pratar med i chattbotten Claude just nu. Opus 4.6 hittade bara 22 säkerhetshål.
Så Mythos är en tolv gånger bättre felfinnare än Opus 4.6?
Kanske. Det skulle behövas data som Elektroniktidningen inte har för att kunna svara på det. Kanske använde Mythosbotten en smartare strategi som utnyttjade LLM-resurserna effektivare?
Kanske använde Mozilla helt enkelt tolv gånger mer datorkraft till Mythos? Den nya generationen LLM-baserade felfinnare är ickedeterminstiska. Du kan ha visat dem samma kod tio gånger, och den hittar en bugg först den elfte gången. Den enklaste formen av brute force fungerar alltså: sparka på buggbotten tills den spottar ur sig en bugg.*
Det betyder i så fall att den med mest datorresurser vinner. Just nu bjuder Anthropic amerikanska IT-jättar på datortid för 100 miljoner hype-dollar. Det ger dem ett bra handikapp mot angripare.
Den första buggfixen är alltså gratis, men när pengarna är slut kostar Mythos 125 dollar per miljon token.
Firefox lyckade buggfiske kommer säkert att ge Anthropic fler kunder till Mythos. Men notera att det finns konkurrenter. Open AI har just släppt GPT 5.4 Cyber. Utgå från att Google, Microsoft och andra AI-jättar kommer att uppdatera sina AI-verktyg. Det finns även många mindre företag och projekt på marknaden, som gratisalternativet Nano-analyzer från veteranen Aisle.
Cybersäkerhet på dag-ordningenGreppet att göra Mythos exklusivt för en skara utvalda var effektiv marknadsföring. Det vann Anthropic på. Men även problemområdet i sig vann. LLM-baserad sårbarhetssöknig kom på dagordningen. Det har tidigare haft begränsad medial uppmärksamhet. Spelreglerna för cybersäkerhet har ritats om sedan det för ett år sedan upptäcktes att AI både effektivt och till ett överkomligt pris i stora mängder kunde gräva upp tidigare okända defekter och säkerhetshål i programvara. Företag kontaktar nu Anthropic för att diskutera partnerskap. USA:s regering – som tidigare svartlistat Anthropic för att det vägrar låta USA använda AI i autonoma vapen – har öppnat en dialog med Anthropic. |
* Närmare bestämt spottar den ur sig massor av buggrapporter – men de flesta är nitlotter som den hallucinerat för att göra dig glad, eftersom du verkar gilla buggrapporter. Så varje fynd den rapporterar måste granskas.