Mozilla poinformowała, że system Claude firmy Anthropic w ciągu dwóch tygodni znalazł ponad 100 błędów w przeglądarce Firefox. Wśród nich było czternaście luk ocenionych jako bardzo groźne. Współpraca między oboma organizacjami zaowocowała więc wyjątkowo istotnym odkryciem.
Co ciekawe, Claude dokonał odkrycia związanego z Firefoxem w czasie, gdy wiele firm zaczyna mieć problem z raportami generowanymi przez AI. Często bowiem okazywały się nietrafione albo ich sugestie w ogóle nie miały związku z rzeczywistymi błędami. W tym przypadku było jednak inaczej, bo zgłoszenia okazały się wiarygodne i szybko trafiły do procesu naprawy.
Współpraca rozpoczęła się wtedy, gdy Anthropic zgłosił się do Mozilli z wynikami nowej metody analizowania kodu przy pomocy AI. Zespół zajmujący się bezpieczeństwem uznał, że warto ją sprawdzić. Po przejrzeniu wyników okazało się, że system radzi sobie na tyle dobrze, że część poprawek już włączono do kodu Firefoxa, z którego da się korzystać zarówno na komputerach stacjonarnych, jak i laptopach czy urządzeniach mobilnych.
Laptopy w naszej ofercie:
Mozilla szybko zareagowała na problem z Firefoxem
Prace skupiły się głównie na silniku JavaScript, czyli jednym z najbardziej złożonych elementów przeglądarki. Ten fragment kodu jest publicznie dostępny i od lat przeglądany przez badaczy bezpieczeństwa, dlatego nadaje się do testowania nowych narzędzi. System AI nie tylko wskazywał potencjalne luki, ale też generował proste przypadki testowe. Dzięki temu programiści mogli bardzo szybko sprawdzić, czy zgłoszony problem faktycznie istnieje, i odtworzyć jego działanie.
Ostatecznie potwierdzono 14 poważnych błędów. Mozilla zapewnia, że wszystkie zostały już naprawione w wydaniu Firefoxa oznaczonym numerem 148.0. Oprócz tego natrafiono na 90 mniej istotnych problemów. Te również doczekały się poprawek.
Anthropic spisał się lepiej niż inni twórcy modeli AI
Mozilla podkreśla, że podejście Anthropic różni się od prób, które widzi w innych projektach open source. W ostatnim czasie niektóre społeczności zostały wręcz zalane słabej jakości zgłoszeniami tworzonymi przez użytkowników chcących zdobyć nagrody za znalezione błędy. W wielu przypadkach raporty okazywały się bezwartościowe, a programiści marnowali czas na ich weryfikację. Tutaj sytuacja się odwróciła, bo zgłoszenia były konkretne i możliwe do zweryfikowania.
Wiele znalezionych luk to problemy, które zwykle wychodzą na jaw podczas fuzzingu. To metoda polegająca na wprowadzaniu do programu losowych lub nietypowych danych wejściowych. Mimo to Mozilla zauważa, że system AI wskazał też błędy, które są trudniejsze do wykrycia tradycyjnymi narzędziami, zwłaszcza te związane z logiką działania kodu.
To nie koniec współpracy
Po pierwszych testach Mozilla zdecydowała, że zamierza dalej korzystać z tej metody. Chce włączyć ją do codziennego procesu rozwoju Firefoxa tak, aby AI było jednym z narzędzi wspierających wykrywanie luk. Organizacja spodziewa się, że nie tylko Claude, lecz także inne modele będą w stanie pomóc w znajdowaniu kolejnych błędów.
Jeśli system sprawdzi się na większą skalę, może przyczynić się do odkrycia problemów, których do tej pory nie udawało się zauważyć mimo wieloletnich testów. Dotyczy to nie tylko Firefoxa, ale także innych projektów open source, które od dawna korzystają z fuzzingu, lecz osiągnęły już granice jego skuteczności.
