Недоверие было ощутимым, когда технический директор Mozilla в прошлом месяце заявил, что обнаружение уязвимостей с помощью ИИ означает: «эра эксплойтов в ноль подошла к концу» и «защитники наконец получили шанс победить — решительно». Выглядело это как часть привычной схемы: выбрать несколько впечатляющих результатов, полученных с помощью искусственного интеллекта, умолчать о нюансах и запустить волну ажиотажа.
Учитывая скептицизм, Mozilla на этой неделе раскрыла детали использования ИИ-модели Anthropic Mythos для поиска уязвимостей в коде Firefox. За два месяца система обнаружила 271 уязвимость. Инженеры Mozilla объяснили этот прорыв двумя факторами: (1) улучшением самих моделей и (2) созданием собственной оболочки — специального кода, который помогает Mythos анализировать исходный код браузера.
«Почти нет ложных срабатываний»
Ранние попытки использовать ИИ для поиска уязвимостей часто заканчивались «мусором» — системами выдавали правдоподобные отчёты о багах, но при проверке выяснялось, что большая часть деталей была выдумана. Разработчикам приходилось тратить массу времени на ручную проверку, как раньше.
С Mythos всё по-другому, рассказал в интервью ведущий инженер Mozilla Брайан Грейнстед (Brian Grinstead). Ключевое отличие — использование агентской оболочки (agent harness), кода, который направляет большую языковую модель (LLM) через чётко заданную последовательность действий. Такую оболочку нужно глубоко адаптировать под конкретный проект — его инструменты, процессы и логику работы.
Грейнстед описал оболочку как «код, который управляет LLM для достижения цели». Он даёт модели инструкции (например, «найди ошибку в этом файле»), предоставляет инструменты (чтение и запись файлов, запуск тестов) и запускает цикл до завершения задачи. Благодаря этому Mythos получила доступ к тем же инструментам и тестовым средам, что и живые разработчики Mozilla, включая специальную сборку Firefox.