Η Ανθρωποκεντρική Προσέγγιση της Claude Αποκαλύπτει 22 Ευπάθειες στον Firefox σε Δύο Εβδομάδες
Σε μια πρόσφατη συνεργασία ασφαλείας με τη Mozilla, η εταιρεία Anthropic ανακάλυψε 22 διαφορετικές ευπάθειες στον Firefox, εκ των οποίων οι 14 χαρακτηρίστηκαν ως “υψηλής σοβαρότητας”. Η πλειονότητα αυτών των σφαλμάτων έχει διορθωθεί στην έκδοση Firefox 148, που κυκλοφόρησε τον Φεβρουάριο, αν και ορισμένες διορθώσεις θα περιμένουν την επόμενη έκδοση. Η ομάδα της Anthropic χρησιμοποίησε το Claude Opus 4.6 για δύο εβδομάδες, ξεκινώντας από τη μηχανή JavaScript και επεκτείνοντας την έρευνα σε άλλα μέρη του κώδικα. Η επιλογή του Firefox δεν ήταν τυχαία, καθώς πρόκειται για ένα από τα πιο σύνθετα και καλά δοκιμασμένα έργα ανοιχτού κώδικα στον κόσμο. Τα μοντέλα τεχνητής νοημοσύνης μπορούν πλέον να εντοπίζουν ανεξάρτητα ευπάθειες υψηλής σοβαρότητας σε σύνθετο λογισμικό. Πρόσφατα, η Claude εντόπισε πάνω από 500 ευπάθειες μηδενικής ημέρας σε καλά δοκιμασμένο λογισμικό ανοιχτού κώδικα.
Η Συνεργασία με τη Mozilla και η Δυναμική της Τεχνητής Νοημοσύνης στην Ανίχνευση Ευπαθειών
Στο πλαίσιο αυτής της συνεργασίας, η Mozilla έλαβε μεγάλο αριθμό αναφορών από την Anthropic, βοηθώντας στην κατανόηση του τι απαιτεί την υποβολή μιας αναφοράς σφάλματος και αποστέλλοντας διορθώσεις σε εκατομμύρια χρήστες μέσω του Firefox 148.0. Αυτή η συνεργασία, μαζί με τα τεχνικά μαθήματα που αντλήθηκαν, προσφέρει ένα πρότυπο για το πώς οι ερευνητές ασφαλείας και οι συντηρητές μπορούν να συνεργαστούν για να αντιμετωπίσουν τις προκλήσεις της εποχής. Στα τέλη του 2025, παρατηρήθηκε ότι το Opus 4.5 ήταν κοντά στην επίλυση όλων των εργασιών στο CyberGym, ένα πρότυπο που δοκιμάζει αν τα LLMs μπορούν να αναπαράγουν γνωστές ευπάθειες ασφαλείας. Η δημιουργία ενός πιο δύσκολου και ρεαλιστικού αξιολογητικού εργαλείου ήταν απαραίτητη για να περιέχει υψηλότερη συγκέντρωση τεχνικά σύνθετων ευπαθειών, όπως αυτές που υπάρχουν στους σύγχρονους φυλλομετρητές.
Η Δύναμη της Τεχνητής Νοημοσύνης στην Ανίχνευση και Επιδιόρθωση Ευπαθειών
Η πρώτη κίνηση ήταν η χρήση της Claude για την ανίχνευση παλαιότερων CVEs σε παλαιότερες εκδόσεις του κώδικα του Firefox. Ήταν έκπληξη το γεγονός ότι το Opus 4.6 μπορούσε να αναπαράγει ένα υψηλό ποσοστό αυτών των ιστορικών CVEs, δεδομένου ότι η αποκάλυψή τους απαιτούσε σημαντική ανθρώπινη προσπάθεια. Ωστόσο, υπήρχαν αμφιβολίες για το πόσο αξιόπιστο ήταν αυτό το αποτέλεσμα, καθώς ήταν πιθανό ότι τουλάχιστον ορισμένα από αυτά τα ιστορικά CVEs ήταν ήδη στα δεδομένα εκπαίδευσης της Claude. Έτσι, η Claude ανατέθηκε να βρει νέες ευπάθειες στην τρέχουσα έκδοση του Firefox – σφάλματα που, από τον ορισμό τους, δεν είχαν αναφερθεί προηγουμένως. Η εστίαση ξεκίνησε από τη μηχανή JavaScript και στη συνέχεια επεκτάθηκε σε άλλες περιοχές του φυλλομετρητή.
Η Πρόκληση της Εκμετάλλευσης των Ευπαθειών από την Τεχνητή Νοημοσύνη
Για να μετρηθεί η ανώτατη ικανότητα της Claude στην κυβερνοασφάλεια, αναπτύχθηκε μια νέα αξιολόγηση για να διαπιστωθεί αν η Claude μπορούσε να εκμεταλλευτεί κάποια από τα σφάλματα που ανακαλύφθηκαν. Η Claude είχε πρόσβαση στις ευπάθειες που είχαν υποβληθεί στη Mozilla και της ζητήθηκε να δημιουργήσει μια εκμετάλλευση για καθεμία από αυτές. Παρά την επένδυση 4.000 δολαρίων σε API credits, το Opus 4.6 κατάφερε να μετατρέψει την ευπάθεια σε εκμετάλλευση μόνο σε δύο περιπτώσεις. Αυτό υποδεικνύει ότι η Claude είναι πολύ καλύτερη στην ανίχνευση αυτών των σφαλμάτων παρά στην εκμετάλλευσή τους. Ωστόσο, το γεγονός ότι η Claude μπορούσε να αναπτύξει αυτόματα μια πρωτόγονη εκμετάλλευση φυλλομετρητή, έστω και σε λίγες περιπτώσεις, είναι ανησυχητικό.
Η Σημασία της Επιτάχυνσης της Διαδικασίας Εύρεσης και Διόρθωσης για τους Αμυνόμενους
Αυτά τα πρώιμα σημάδια ανάπτυξης εκμεταλλεύσεων με τη βοήθεια της τεχνητής νοημοσύνης υπογραμμίζουν τη σημασία της επιτάχυνσης της διαδικασίας εύρεσης και διόρθωσης για τους αμυνόμενους. Πρώτον, κατά την έρευνα “παραγόντων διόρθωσης”, που χρησιμοποιούν LLMs για την ανάπτυξη και επικύρωση διορθώσεων σφαλμάτων, έχουν αναπτυχθεί μερικές μέθοδοι που ελπίζουμε ότι θα βοηθήσουν τους συντηρητές να χρησιμοποιήσουν LLMs όπως η Claude για την ταχύτερη διαχείριση και αντιμετώπιση αναφορών ασφαλείας. Στην εμπειρία μας, η Claude λειτουργεί καλύτερα όταν μπορεί να ελέγξει το έργο της με ένα άλλο εργαλείο. Αναφερόμαστε σε αυτή την κατηγορία εργαλείων ως “επαληθευτές εργασιών”: μια αξιόπιστη μέθοδος επιβεβαίωσης αν το αποτέλεσμα ενός πράκτορα τεχνητής νοημοσύνης επιτυγχάνει πραγματικά τον στόχο του.
Συμπεράσματα και Προτροπή για Δράση
Οι πρωτοποριακά μοντέλα γλώσσας είναι πλέον κορυφαίοι ερευνητές ευπαθειών. Πέρα από τις 22 CVEs που εντοπίστηκαν στον Firefox, η Claude Opus 4.6 έχει ανακαλύψει ευπάθειες και σε άλλα σημαντικά έργα λογισμικού όπως ο πυρήνας του Linux. Το Opus 4.6 είναι επί του παρόντος πολύ καλύτερο στην αναγνώριση και διόρθωση ευπαθειών παρά στην εκμετάλλευσή τους. Αυτό δίνει πλεονέκτημα στους αμυνόμενους. Ωστόσο, με την πρόσφατη κυκλοφορία του Claude Code Security σε περιορισμένη προεπισκόπηση έρευνας, φέρνουμε τις δυνατότητες ανακάλυψης ευπαθειών (και διόρθωσης) απευθείας σε πελάτες και συντηρητές ανοιχτού κώδικα. Καλούμε τους προγραμματιστές να αξιοποιήσουν αυτή την ευκαιρία για να ενισχύσουν την ασφάλεια του λογισμικού τους.
