Firefox обнаружил 20-летнюю уязвимость и исправил 14 месяцев проблем за 30 дней с помощью AI Mythos от Anthropic

Компания Mozilla представила последнее обновление безопасности для браузера Firefox, которое продемонстрировало, как передовые возможности искусственного интеллекта могут помочь защитникам опередить злоумышленников. В апреле 2026 года Mozilla исправила 423 уязвимости в Firefox, получив доступ к Claude Mythos Preview. Для сравнения, за предыдущие 14 месяцев было исправлено около 420 уязвимостей. Это резкое увеличение числа исправлений за один месяц подчеркивает важность использования современных технологий в области кибербезопасности.

Старые уязвимости и их последствия

Одной из уязвимостей, о которой сообщила Mozilla, стала ошибка Bug 2025977, представляющая собой 20-летнюю проблему с реентрантностью XSLT. В этой уязвимости вызовы key() могли привести к повторной хешировке таблицы хешей, освобождению резервного хранилища и оставлению указателя на необработанную запись в использовании. Другая уязвимость, Bug 2024437, касалась 15-летнего дефекта в элементе HTML <legend>. Эти ошибки представляют собой долгосрочные дефекты, которые могут оставаться незамеченными в процессе обычного тестирования, так как они находятся в сложных взаимодействиях или старых подсистемах браузера.

Влияние AI на безопасность

Mozilla сообщила, что Claude Mythos Preview помог выявить и исправить 271 уязвимость в версии Firefox 150, а также дополнительные исправления были выпущены в версиях 149.0.2, 150.0.1 и 150.0.2. Из этих 271 уязвимости 180 были оценены как sec-high, 80 как sec-moderate и 11 как sec-low. Это говорит о том, что многие из найденных уязвимостей могут быть активированы обычным поведением пользователей, например, при посещении веб-страниц.

Риски и возможности для злоумышленников

Существуют серьезные риски, связанные с уязвимостями, которые могут быть использованы злоумышленниками. Например, уязвимость, которая существует в течение 20 лет, может быть использована для создания цепочек эксплуатации. Злоумышленник, обладающий инструментами уровня Mythos, мог бы найти старые уязвимости, которые ускользнули от предыдущих методов тестирования. Mozilla также отметила, что несколько уязвимостей были связаны с побегом из песочницы, что требует высокой точности для успешной эксплуатации.

Проблема заключается в том, что если злоумышленник получит доступ к аналогичным системам раньше, чем защитники, это может привести к более быстрому поиску уязвимостей и созданию более сложных цепочек эксплуатации. В этом случае компании придется защищаться от более глубокой инвентаризации уязвимостей и большего числа цепляемых примитивов.

Потенциальные последствия для пользователей криптовалют

Для пользователей криптовалют браузерная безопасность представляет собой серьезный риск. Браузеры служат связующим звеном между пользователями и различными сервисами, такими как обменники, кошельки и аналитические панели. Скомпрометированный браузер может привести к захвату сессий, изменению деталей транзакций или кражи учетных данных. Злоумышленник, обладающий доступом к инструментам уровня Mythos, мог бы направить свои усилия на браузерные подсистемы, взаимодействующие с веб-контентом, что создало бы серьезные риски для целевых пользователей.

Заключение

Обновление безопасности Mozilla в апреле 2026 года должно рассматриваться как раннее предупреждение для более широкой программной экосистемы. Компания смогла использовать возможности AI для обнаружения и исправления уязвимостей, что подчеркивает важность создания эффективных систем безопасности. В то время как Mozilla имеет необходимые инструменты и ресурсы для быстрого реагирования, многие компании могут не иметь аналогичных возможностей. Если злоумышленники получат доступ к таким же системам раньше, чем защитники, это может привести к значительному сокращению времени между обнаружением уязвимости и ее эксплуатацией. Таким образом, компании должны стремиться к созданию эффективных систем безопасности, чтобы защитить свои продукты и пользователей от потенциальных угроз.