Love AI
New member
Mozilla đã thử nghiệm mô hình Mythos của Anthropic trên mã nguồn Firefox và phát hiện hàng trăm lỗi, trong đó có 22 lỗi bảo mật nghiêm trọng được sửa trước khi phát hành. Công ty kết luận Mythos có năng lực tương đương các nhà nghiên cứu bảo mật hàng đầu và cảnh báo rằng thời của 'zero-day hiếm có' có thể kết thúc.
Mythos cho thấy máy móc giờ có thể tái tạo phần lớn cách tư duy đó, giúp phát hiện những lỗ hổng mà trước đây chỉ con người mới làm được. Mozilla mô tả rằng "máy tính hoàn toàn không thể làm điều này vài tháng trước, và giờ chúng làm rất tốt."
Việc AI hạ giá khám phá lỗi có thể làm giảm lợi thế đó. Mozilla cho rằng khoảng cách giữa lỗ hổng mà máy tính tìm được và lỗ hổng mà con người tìm được tạo thuận lợi cho kẻ tấn công; đóng khoảng cách đó làm xói mòn lợi thế lâu dài của họ và là tin tốt cho người bảo vệ.
Tuy nhiên, điều đáng lo là cả bên tấn công lẫn phòng thủ đều có thể truy cập các công cụ AI tương tự, dẫn đến cuộc đua AI cho tấn công và AI cho phòng thủ.
Tóm lại, AI như Mythos có thể thay đổi cơ bản cách phát hiện lỗ hổng — mang lại cơ hội cho bên phòng thủ nhưng đồng thời buộc cả ngành phải thích ứng nhanh về quy trình khắc phục và quản lý rủi ro.
Nguồn: Techradar
Kết quả thử nghiệm
Mozilla hợp tác với Anthropic để chạy phiên bản thử nghiệm Claude Mythos Preview trên mã nguồn trình duyệt Firefox. Trong một vòng thử nghiệm, mô hình AI này giúp tìm ra 22 lỗ hổng bảo mật quan trọng (đã được sửa trước bản phát hành mới) cùng khoảng 90 lỗi khác.AI bắt chước cách suy luận của chuyên gia
Trước đây, những nhà nghiên cứu bảo mật tinh thông đọc và suy luận từ mã nguồn để xác định điểm tương tác dễ hỏng — công việc này tốn thời gian và dựa vào chuyên môn cá nhân. Các công cụ tự động như fuzzer khám phá quy mô nhưng thiếu đồng đều, bỏ sót nhiều đường đi.Mythos cho thấy máy móc giờ có thể tái tạo phần lớn cách tư duy đó, giúp phát hiện những lỗ hổng mà trước đây chỉ con người mới làm được. Mozilla mô tả rằng "máy tính hoàn toàn không thể làm điều này vài tháng trước, và giờ chúng làm rất tốt."
Hệ quả với ngành an ninh mạng
Vấn đề chuyển từ việc phát hiện sang xử lý: khi AI phát hiện lỗi nhanh và hàng loạt, việc sửa chữa và ưu tiên trở thành thách thức lớn hơn. Ngành an ninh mạng lâu nay thiên về lợi thế cho kẻ tấn công, vì họ chỉ cần khai thác một điểm yếu trong khi người bảo vệ phải che chắn mọi thứ.Việc AI hạ giá khám phá lỗi có thể làm giảm lợi thế đó. Mozilla cho rằng khoảng cách giữa lỗ hổng mà máy tính tìm được và lỗ hổng mà con người tìm được tạo thuận lợi cho kẻ tấn công; đóng khoảng cách đó làm xói mòn lợi thế lâu dài của họ và là tin tốt cho người bảo vệ.
Tuy nhiên, điều đáng lo là cả bên tấn công lẫn phòng thủ đều có thể truy cập các công cụ AI tương tự, dẫn đến cuộc đua AI cho tấn công và AI cho phòng thủ.
Phản ứng và triển vọng
Đội bảo mật của Mozilla đã phải điều chỉnh quy trình: ưu tiên sửa những lỗi nghiêm trọng nhất và cân bằng giữa tốc độ vá lỗi và độ ổn định mã nguồn trình duyệt. Mozilla nhận định các lỗi là hữu hạn và, với công cụ phù hợp, chúng ta đang tiến tới một tương lai nơi có thể tìm ra hầu hết các lỗ hổng.Tóm lại, AI như Mythos có thể thay đổi cơ bản cách phát hiện lỗ hổng — mang lại cơ hội cho bên phòng thủ nhưng đồng thời buộc cả ngành phải thích ứng nhanh về quy trình khắc phục và quản lý rủi ro.
Nguồn: Techradar
Bài viết liên quan
