Több mint száz rejtett hiba felfedezése két hét alatt a Firefoxban – ez igazán derék, mondhatni ember feletti teljesítmény. És ez az utóbbi jelző nagyon is közel áll a realitáshoz, ugyanis a mesterséges intelligencia volt képes e nagy bravúrra.
A böngészők kódjai elképesztően bonyolultak, és persze nem hibátlanok. Szerencsére a fejlesztőik folyamatosan keresik a gyenge pontokat, hogy azután orvosolhassák a sokszor biztonsági problémákat. Erre már csak azért is nagy szükség van mert közismert a hackerek és a böngészők készítői közötti macska-egér harc, ahogy befoltoznak egy sebezhetőséget, a másik oldal máris ezerrel keres egy újabb biztonsági rést.
Eddig az emberi tudás mérkőzött meg egymással, most viszont a mesterséges intelligencia is helyet kér magának, ezúttal a „jó oldalon”. A Mozilla együttműködik az Anthropickal a Firefox potenciálisan veszélyes biztonsági réseinek azonosításán és javításán. Az AI rendszer számos biztonsági hibát talált a Firefox JavaScript motorjában, és teszteseteket is készített, hogy lehetővé tegye a Firefox fejlesztői számára a problémák gyors ellenőrzését és reprodukálását.
A Mozilla a Claude Opus 4.6 modellt használta – ez az Anthropic legerősebb nagy nyelvi modelljének (LLM) legújabb verziója, amely 2026 február elején jelent meg, és amelyet a biztonsági szakemberek nélkülözhetetlen eszközeként hirdetnek, azt állítva, hogy „jelentősen jobb lett” a súlyos sebezhetőségek felkutatásában. A kutatók által megosztott részletek szerint a Claude Opus 4.6 mindössze két hét alatt 22 sebezhetőséget és összesen 112 hibát fedezett fel. Ez több sebezhetőség, mint amennyit egy hónap alatt találtak tavaly. Az azonosított sebezhetőségek közül 14-et magas súlyosságúnak jelöltek, ami a Mozilla által 2025-ben kijavított 73 ilyen Firefox-sebezhetőség közel egyötöde. A 14 magas súlyosságú hiba mellett hetet közepes, egyet pedig alacsony súlyosságúnak minősítettek.
A Mozilla azt nyilatkozta, hogy ezeket a problémákat már mind kijavították a Firefox legújabb, 148.0-s verziójában. A folyamat során további 90 alacsony prioritású hibát is feltártak, amelyeket azóta szintén kijavítottak.
Az Anthropic technikájával feltárt sebezhetőségek közül sokat jellemzően fuzzinggal fedeznek fel. Ez egy automatizált szoftvertesztelési módszer, amit hibák, sebezhetőségek és nem várt viselkedések felderítésére használnak. A kiszemelt programot nagyon sok véletlenszerű vagy szándékosan hibás adat bevitelével próbálják „megzavarni”, hogy kiderüljön, hol omlik össze, vagy hol viselkedik nem biztonságosan.
A fuzzinggal ellentétben a Claude Opus úgy kezeli a kódot, ahogy egy emberi kutató tenné, ami azt jelenti, hogy a korábbi javításokat vizsgálja, hogy hasonló, nem kezelt hibákat találjon, olyan mintákat észlel, amelyek problémákat okoznak, és elég jól érti a logikát ahhoz, hogy pontosan tudja, milyen bemenet hibásítaná meg. A Mozilla szerint az AI modell számos olyan logikai hibaosztályt is azonosított, amelyeket a hagyományos fuzzing technikák gyakran nem vesznek észre.
„Az eredmények nagyságrendje tükrözi a szigorú mérnöki munka és az új elemzőeszközök kombinációjának erejét a folyamatos fejlesztés érdekében. Ezt egyértelmű bizonyítéknak tekintjük arra, hogy a nagyléptékű, mesterséges intelligencia által támogatott elemzés egy erőteljes új kiegészítés a biztonsági mérnökök eszköztárában – véli a böngészőgyártó.
Az Anthropic azt állítja, hogy azért választotta tesztelési forrásnak a Firefoxot, mert ez a világ egyik legjobban ellenőrzött nyílt forráskódú projektje, és ideális terep egy új típusú védelmi eszköz számára. A vállalat nemrégiben egy dedikált kiberbiztonsági funkciót is kiadott saját AI-eszközéhez, a Claude Code-hoz.
A hibakeresésnek egyébként volt még egy érdekessége. Megfordítva a dolgot: a Claude Opus 4.6-nak csak két esetben sikerült kihasználnia biztonsági hibát. Ez a viselkedés – magyarázza az Anthropic – két fontos szempontot jelez: a sebezhetőségek azonosítása olcsóbb, mint egy kihasználható rés létrehozása, és a modell ügyesebben megtalálja a problémákat, mint ahogy képes kihasználni azokat.
Tovább a cikkre: hvg.hu
