Tinjauan utama terbaru tentang Mozilla Firefox hadir dengan kejutan besar. Di balik layar: peramban tersebut harus menambal 271 kerentanan keamanan setelah kode programnya menjalani analisis intensif dengan Claude Mythos, model kecerdasan buatan yang berfokus pada keamanan siber dari Anthropic. Jauh dari sekadar eksperimen sederhana, kasus ini dianggap sebagai titik balik potensial dalam cara aplikasi besar yang terhubung ke internet dilindungi.
Mozilla telah membanggakan diri selama bertahun-tahun bahwa Firefox adalah salah satu yang terbaik. peramban sumber terbuka yang lebih teraudit dan andalNamun, kolaborasi dengan Anthropic mengungkapkan sejumlah besar kerentanan laten. Kabar baiknya adalah kerentanan tersebut telah diperbaiki sebelum dapat dieksploitasi; kekhawatiran muncul dari penemuan sejauh mana permukaan serangan masih menyembunyikan kelemahan yang tidak terdeteksi oleh pengujian manual maupun teknik analisis tradisional.
Firefox 150: pembaruan yang ditandai dengan perbaikan 271 kerentanan.
Menurut Bobby Holley, CTO Mozilla, pekerjaan ini merupakan bagian dari sebuah kolaborasi langsung dengan Anthropic Dalam Project Glasswing, program terbatas yang memungkinkan perusahaan AI tersebut untuk bermitra dengan perusahaan teknologi guna menganalisis perangkat lunak penting, pemindaian difokuskan pada kode sumber peramban, dengan memberikan perhatian khusus pada komponen sensitif seperti mesin rendering, sandbox, dan lapisan isolasi proses.
Holley mengakui bahwa, secara historis, industri ini berasumsi bahwa Menghilangkan celah keamanan sepenuhnya adalah tujuan yang tidak realistis.Strategi tersebut melibatkan upaya untuk mempersulit serangan melalui lapisan pertahanan berlapis, sandboxing, dan bahasa pemrograman yang lebih aman seperti Rust, tetapi selalu menerima bahwa beberapa kerentanan pada akhirnya akan muncul. Penemuan besar-besaran Mythos memperkuat gagasan ini, tetapi pada saat yang sama menunjukkan bahwa keseimbangan mungkin mulai bergeser mendukung pihak bertahan.
CTO sendiri menunjukkan bahwa satu kegagalan kategori yang ditemukan saja sudah cukup untuk Peringatan merah pada tahun 2025 untuk target yang sangat terlindungi.Oleh karena itu, rasa pusing yang, menurut Mozilla, telah menyebar di antara tim keamanan lain ketika mereka melihat jumlah total kerentanan yang terungkap sekaligus, sebuah skenario yang menguji kapasitas reaksi organisasi mana pun.
Dari Opus ke Mythos: Lompatan maju dalam audit AI
Kolaborasi antara Mozilla dan Anthropic tidak dimulai dengan Mythos. Beberapa bulan sebelumnya, yayasan tersebut telah menguji coba Claude Karya 4.6Model canggih Anthropic digunakan untuk meninjau versi awal peramban tersebut. Tes pertama itu menghasilkan perbaikan 22 kerentanan keamanan di Firefox 148, beberapa di antaranya serius, dan dianggap sebagai pencapaian luar biasa bahkan pada saat itu.
Namun, kedatangan Claude Mythos Preview telah berarti sebuah Peningkatan skala sekitar dua belas kali lipat dalam jumlah kerentanan yang terdeteksi.Meskipun Opus 4.6 mengidentifikasi beberapa lusin kerentanan, Mythos telah menemukan 271 dan, dalam pengujian internal, telah menghasilkan lebih dari 180 eksploitasi yang berfungsi yang menunjukkan potensi eksploitasi sebenarnya dari kesalahan-kesalahan ini. Dari segi produktivitas audit, ini merupakan peningkatan yang signifikan.
Mozilla menekankan bahwa model Anthropic telah mencapai sebuah kinerja yang setara dengan para peneliti manusia elit.Yang penting, mereka klarifikasi, bukanlah bahwa sistem ini menemukan jenis kerentanan yang sepenuhnya baru, tetapi bahwa sistem ini mampu secara sistematis menemukan banyak masalah yang juga dapat ditemukan oleh seorang ahli, tetapi dalam waktu yang jauh lebih singkat dan dalam skala yang praktis tidak dapat dikelola oleh tim manual.
Salah satu poin yang selalu ditekankan oleh organisasi tersebut adalah bahwa... Tidak ada kerentanan yang terdeteksi yang berada di luar jangkauan peneliti manusia yang kompeten.Hal ini sejalan dengan pandangan Mozilla, yang tidak percaya bahwa AI akan menciptakan metode serangan dari ketiadaan yang sepenuhnya menantang pemahaman kita saat ini tentang keamanan; melainkan, AI memperkuat pekerjaan yang sudah dapat dilakukan, tetapi tanpa batasan waktu, kelelahan, atau sumber daya.
Untuk aplikasi modular yang kompleks seperti Firefox, yang dirancang sedemikian rupa sehingga manusia dapat memahami berbagai bagiannya, pendekatan ini masuk akal. Yang berubah bukanlah sifat kesalahannya, melainkan cara kerjanya. kemampuan untuk menemukan lebih banyak hal dalam waktu yang lebih singkatIni sangat penting bagi peramban yang berfungsi sebagai gerbang menuju ribuan layanan dan aplikasi, termasuk platform keuangan, alat kerja jarak jauh, dan layanan publik daring di Uni Eropa.
Dari model ofensif menuju upaya meraih keunggulan defensif.
Selama bertahun-tahun, keamanan perangkat lunak telah bergerak ke arah... Keseimbangan yang tidak stabil antara penyerang dan pemain bertahanPermukaan serangan pada peramban modern sangat luas sehingga mustahil untuk menutupinya sepenuhnya dengan alat tradisional, yang telah memberi penyerang keuntungan asimetris: mereka hanya perlu menemukan kerentanan yang tepat untuk mencapai tujuan mereka.
Mozilla mengakui bahwa strateginya bergantung pada kombinasi dari pertahanan berlapis, sandboxing ketat, dan penggunaan Rust yang intensif untuk meminimalkan jenis kesalahan tertentu. Hal ini dilengkapi dengan teknik seperti fuzzing, yang memberikan input acak pada kode untuk memicu kegagalan yang tidak terduga. Namun, tim Firefox sendiri mengakui bahwa ada bagian-bagian kode yang jauh lebih sulit untuk diuji coba (fuzzing).Hal ini menyisakan celah dalam cakupan yang dapat dieksploitasi oleh penyerang yang sabar.
Penggunaan AI seperti Claude Mythos menghadirkan bagian baru dalam teka-teki tersebut. Tidak seperti pengujian acak atau tinjauan manual, model ini mampu... Menganalisis kode sumber, mengidentifikasi pola yang mencurigakan, dan mengusulkan eksploitasi. yang menunjukkan apakah suatu kesalahan benar-benar kritis. Hal ini mengurangi ketergantungan eksklusif pada tim yang sangat terspesialisasi, yang jumlahnya langka dan tidak mampu menangani volume perangkat lunak yang perlu ditinjau.
Bagi Mozilla, ini membuka pintu menuju untuk secara bertahap menutup kesenjangan antara kesalahan yang dapat dideteksi oleh mesin dan kesalahan yang dapat ditemukan oleh para ahli manusia.Jika biaya untuk menemukan kerentanan turun drastis bagi pihak bertahan, sebagian dari keunggulan struktural yang dimiliki penyerang, yang terbiasa menghabiskan waktu berbulan-bulan untuk memburu satu celah yang menguntungkan, akan hilang.
Holley mengakui bahwa kejutan awal melihat begitu banyak kesalahan sekaligus tidak kurang dari gempa bumi internal, tetapi menegaskan bahwa, setelah kejutan awal mereda, perasaannya positif: jika sumber daya dapat diprioritaskan dan upaya difokuskan pada koreksi atas apa yang diungkapkan oleh AI, Para pemain bertahan bisa mulai bermain dengan senjata yang sama.Artinya, dengan syarat ada tim yang mampu menyerap banyaknya hasil dan menerjemahkannya menjadi perbaikan yang efektif.
Risiko dari AI keamanan yang begitu canggih: sebuah pedang bermata dua yang nyata.
Seiring dengan antusiasme Mozilla yang moderat, sebagian besar sektor keamanan siber Eropa juga mengamati dengan saksama hal ini. potensi penyalahgunaan alat seperti Claude MythosSistem yang sama yang memungkinkan ditemukannya celah keamanan di Firefox, jika jatuh ke tangan yang salah, dapat digunakan untuk mengotomatiskan penemuan kerentanan pada sistem operasi, dompet digital, aplikasi terdesentralisasi, atau layanan infrastruktur penting.
Anthropic menyadari risiko tersebut dan, pada kenyataannya, mempertahankan Mythos tersedia dengan akses yang sangat terbatas melalui Project Glasswing.Perusahaan teknologi besar seperti Apple, Microsoft, Google, Amazon Web Services, Linux Foundation, dan Mozilla sendiri merupakan bagian dari kelompok ini, yang menggunakan model tersebut untuk mengaudit perangkat lunak mereka sendiri dan, dalam beberapa kasus, infrastruktur strategis. Idenya adalah untuk mengontrol secara ketat apa yang dianalisis dan untuk tujuan apa.
Laporan terbaru menunjukkan bahwa, dalam uji coba terkontrol, Claude Mythos telah mencapai Mengidentifikasi dan mengeksploitasi kerentanan zero-day pada sistem yang banyak digunakan.Mulai dari peramban hingga sistem operasi. Bahkan telah didokumentasikan bahwa ia dapat melakukan operasi siber yang kompleks secara cukup otonom, seperti simulasi intrusi multi-tahap pada jaringan perusahaan.
Kemampuan ini telah memicu minat tidak hanya dari perusahaan, tetapi juga dari pemerintah dan badan intelijenDi Amerika Serikat, misalnya, dilaporkan bahwa Badan Keamanan Nasional (NSA) bahkan telah menjalankan Mythos pada jaringan rahasia, meskipun ada keberatan publik tentang penggunaan alat semacam itu dalam konteks perang atau pengawasan.
Bagi Eropa, di mana perdebatan tentang Regulasi AI dan perlindungan data Situasinya sangat intens; kasus-kasus seperti Firefox dan Mythos memberikan amunisi bagi semua pihak: di satu sisi, kasus-kasus tersebut menunjukkan nilai AI yang dikelola dengan baik untuk melindungi jutaan pengguna; di sisi lain, kasus-kasus tersebut menyoroti perlunya memastikan bahwa model-model semacam ini tidak berujung pada munculnya generasi baru serangan otomatis berskala besar.
Dampak pada ekosistem perangkat lunak terbuka dan pada pengguna di Eropa
Firefox menempati posisi unik dalam lanskap peramban. Meskipun telah kehilangan pangsa pasar kepada Chromium dan turunannya, Firefox tetap menjadi komponen kunci dalam lingkungan yang menghargai perangkat lunak bebas dan privasi, seperti halnya banyak administrasi publik Eropa, lembaga akademis, dan pengguna tingkat lanjut sistem GNU/Linux.
Dalam konteks tersebut, penemuan 271 kerentanan dapat diinterpretasikan dengan dua cara. Di satu sisi, hal ini menegaskan bahwa bahkan Proyek sumber terbuka yang diaudit secara ketat dapat menyembunyikan sejumlah besar bug.Hal ini semata-mata karena basis kode yang sangat besar dan peninjauan manual tidak dapat menjangkau semuanya. Di sisi lain, ini menunjukkan bahwa model pengembangan terbuka memudahkan alat eksternal, termasuk AI canggih, untuk memeriksa kode dan berkontribusi dalam meningkatkan keamanannya.
Mozilla mengakui bahwa, dengan bantuan Mythos, mereka sekarang memiliki daftar panjang tugas yang tertunda untuk memperkuat keamanan dari aplikasi andalan mereka. Bagi pengguna akhir di Spanyol dan seluruh Eropa, rekomendasinya sederhana: terus perbarui browser Anda untuk mendapatkan manfaat dari patch ini. Versi 150 tidak hanya memperbaiki bug yang terdeteksi, tetapi juga mempertahankan laju peningkatan kinerja, kompatibilitas, dan fitur-fitur seperti sandboxing dan manajemen izin jaringan lokal.
Selain itu, kasus Firefox dapat dijadikan preseden untuk proyek sumber terbuka lainnya Alat-alat ini digunakan setiap hari di berbagai bisnis, lembaga publik, dan layanan penting. Alat-alat yang banyak digunakan—server web, pustaka kriptografi, kerangka kerja pengembangan—dapat memperoleh manfaat dari audit berbasis AI serupa, yang sangat relevan di Uni Eropa, di mana arahan tentang keamanan siber dan ketahanan digital semakin ketat.
Tantangannya, seperti yang diakui Mozilla sendiri, adalah bahwa banyak dari proyek-proyek ini tidak memiliki sumber daya manusia atau ekonomi yang memadai untuk menyerap arus temuan. Model seperti Mythos mampu menghasilkan hal tersebut. Di sinilah peran yayasan perangkat lunak bebas dan kebijakan publik yang mendukung keamanan sumber terbuka, sebuah isu yang telah diangkat di Brussels menyusul insiden seperti Log4Shell.
Fase baru dalam hubungan antara manusia dan AI di bidang keamanan siber.
Di luar anekdot tentang 271 kerentanan, kasus Firefox ini mengangkat sebuah pertanyaan penting. perubahan fokus dalam hubungan antara peneliti manusia dan AI dalam keamanan siber. Alih-alih mempertentangkan satu dengan yang lain, Mozilla menganjurkan model di mana alat-alat canggih memperluas kemampuan tim keamanan, tanpa menggantikan penilaian atau pengalaman mereka.
Organisasi tersebut menggambarkan Claude Mythos sebagai semacam peneliti keamanan yang tak kenal lelahMampu meninjau sejumlah besar kode, mengusulkan eksploitasi, dan mengidentifikasi pola risiko. Di samping mereka, spesialis manusia tetap bertanggung jawab untuk memprioritaskan, mengkonfirmasi, mengoreksi, dan memutuskan perubahan mana yang akan dimasukkan ke dalam produk akhir.
Visi kolaboratif ini memiliki implikasi langsung bagi pasar keamanan siber Eropa, di mana perusahaan dan pusat penelitian sudah beroperasi di sana. Mereka sedang bereksperimen dengan AI untuk audit kode, analisis malware, atau deteksi intrusi.Jika hasil yang diperoleh Mozilla dapat direplikasi di proyek lain, kita mungkin akan melihat waktu reaksi terhadap kegagalan kritis menjadi lebih singkat dan tekanan pada tim keamanan yang kewalahan berkurang, setidaknya sebagian.
Pada saat yang sama, pengalaman Anthropic dan Mozilla memperjelas pentingnya hal tersebut. Evaluasi ulang metode yang digunakan untuk mengukur kinerja model AI. dalam tugas-tugas keamanan. Anthropic sendiri telah mengakui bahwa banyak tolok ukur saat ini telah gagal dalam menilai kemampuan sebenarnya dari sistem terbarunya, yang mengharuskan perancangan tes yang lebih menuntut dan representatif.
Jika ada satu hal yang tampaknya disepakati oleh Mozilla dan Anthropic, itu adalah bahwa, untuk saat ini, Tidak ada pengganti yang sepenuhnya sempurna untuk penilaian manusia. Dalam manajemen risiko, AI mempercepat dan memperluas pencarian masalah, tetapi keputusan tentang apa yang perlu diperbaiki, bagaimana melakukannya, dan dalam jangka waktu berapa lama masih bergantung pada tim yang harus menyeimbangkan keamanan, dampak bagi pengguna, dan sumber daya yang tersedia.
Segala indikasi menunjukkan bahwa perilisan Firefox 150 dengan tambalan untuk 271 kerentanan yang diidentifikasi oleh Claude Mythos akan dikenang sebagai momen ketika Keamanan siber telah mengambil langkah serius menuju otomatisasi cerdas.Dengan demikian, peramban Mozilla menjadi studi kasus tentang bagaimana mengintegrasikan AI tingkat tinggi ke dalam siklus pengembangan dan pemeliharaan produk penting, tanpa mengabaikan risiko yang terkait atau kebutuhan akan pengawasan manusia yang ketat. Bagi pengguna, pengembang, dan pembuat kebijakan di Spanyol dan Eropa, pelajarannya jelas: kecerdasan buatan bukan lagi sekadar konsep futuristik, tetapi alat yang mulai menyeimbangkan kembali kekuatan dalam pertempuran yang selama beberapa dekade condong ke pihak penyerang.
