A Mozilla fejlesztői a Claude Mythos Preview mesterséges intelligencia-modell segítségével 271 korábban ismeretlen biztonsági sérülékenységet azonosítottak a Firefox 150-es verziójában. Ez az eredmény hozzájárult ahhoz, hogy az alapítvány 2026 áprilisában összesen 423 biztonsági problémát oldjon meg – ami messze meghaladja a korábbi havi rekordot, a márciusi 76-os számot. Az eredmény iparági szinten is figyelemreméltó mérföldkőnek számít.
Kapcsolódó: anthropic claude mythos es a kibervedelem
Az áttörés: ágentikus AI a biztonsági tesztelésben
A Mozilla korábban is próbálkozott AI-eszközök bevonásával, de a GPT-4 és a Claude Sonnet 3.5 modellek csupán olvasásra alapuló elemzést végeztek, és rengeteg félreriasztást (false positive) termeltek – ami a biztonsági mérnökök idejét és energiáját pazarolta el. A valódi áttörést az ágentikus megközelítés hozta: az AI-rendszer most már képes saját maga teszteseteket írni és futtatni annak ellenőrzésére, hogy egy gyanús hiba valóban fennáll-e, nem pedig csupán elméleti jellegű.
Ez a különbség rendkívül fontos a gyakorlatban: az önállóan ellenőrző AI lényegesen kevesebb téves riasztást generál, így a fejlesztők valóban csak azokra a hibákra fordítják a figyelmüket, amelyekkel érdemes foglalkozni.
Hogyan működik a pipeline?
A folyamat fokozatosan fejlődött ki. Először a Claude Opus 4.6 modellel végeztek manuálisan felügyelt kísérleteket, majd az infrastruktúrát párhuzamos virtuális gépeken terjesztették ki, ahol az AI-rendszer egyenként, szisztematikusan vizsgálta az egyes fájlokat. A pipeline kiegészül deduplikációs protokollokkal (hogy ugyanazt a hibát ne jelentsék be többször), fontossági rangsorolással és nyomkövetési mechanizmusokkal egészen a végleges kiadásig.
A 423 megoldott biztonsági probléma megoszlása szemléletes: 271 közvetlenül a Firefox 150 Mythos Preview-val végzett elemzéséből származik, a fennmaradó belső hibák körülbelül egyharmada szintén Mythos-futtatásokból ered, és csupán 41 sérülékenységet jeleztek külső, hagyományos csatornákon keresztül.
A felfedezett sebezhetőségek – köztük évtizedes hibák
A talált hibák skálája széles, és nem egy köztük döbbenetes régiségű:
- 15 éves hiba a HTML
labelelemek kezelésében – ezek az űrlapok leírásához használt elemek, és közel másfél évtizede rejtőzött bennük a sebezhetőség - 20 éves hiba az XSLT XML-feldolgozó eszközben
- Több homokozó-menekülési technika (sandbox escape), köztük egy túlcsordulás (overflow), amelyet 65 535 sort meghaladó HTML-táblázatok váltanak ki
- Kísérletek a RLBox megkerülésére – ez a Mozilla speciális homokozó megoldása a harmadik féltől származó könyvtárak izolálására
Amit az AI nem tudott feltörni – és miért fontos ez
Nem kevésbé tanulságos az sem, amit az AI-rendszerek nem tudtak kiaknázni. A korábban sikeres Prototype Pollution homokozó-megkerülő technikát célzó támadási vektorok sorra meghiúsultak – a Mozilla évekkel ezelőtt meghozott architekturális döntéseinek köszönhetően. Ez ékes bizonyítéka annak, hogy a régi biztonsági beruházások ma is megvédik a rendszert: a gondos tervezés időtálló védelmet nyújt még a legfejlettebb AI-alapú teszteléssel szemben is.
A jövő: automatikus biztonságelemzés minden commit előtt
A Mozilla tervei szerint ezt a pipeline-t közvetlenül beépítik a fejlesztési munkafolyamatokba, lehetővé téve az automatikus biztonsági elemzést minden kódbevitel előtt. Ha ez megvalósul, az iparági szinten is példamutató lehet: a mesterséges intelligencia nem csupán kiegészíti, hanem alapvetően átalakítja a szoftverbiztonság módszertanát.
A projekt eredménye egyúttal rámutat arra, hogy a Claude Mythos Preview milyen komoly szerepet játszhat nemcsak a szoftverfejlesztésben, hanem a kibervédelmi infrastruktúra folyamatos megerősítésében is. A Mozilla esetének tanulsága egyértelmű: az ágentikus AI-eszközök a biztonsági tesztelésben már nem a jövő, hanem a jelen.
Forrás: The Decoder
