Mozilla'nın en son tarayıcı sürümü, yapay zeka destekli güvenliğin ne kadar ilerlediğinin ve yazılım geliştirmeyi ne kadar hızlı bir şekilde yeniden şekillendirdiğinin canlı bir testi niteliğinde. Mozilla, Firefox 150 ile , fuzzer'lar veya insan kırmızı ekip üyeleri tarafından değil, Anthropic'in Mythos Preview modeli tarafından yayınlanmamış Firefox kaynak kodunu analiz ederek tespit edilen 271 güvenlik açığını düzelttiğini söylüyor.
Firefox CTO'su Bobby Holley'nin görüşüne göre, bu sonuç, saldırganlar ve savunucular arasındaki uzun süredir devam eden asimetride belirleyici bir değişime işaret ediyor. Holley bir blog yazısında, "Savunucular nihayet kesin bir şekilde kazanma şansına sahip oldular" diye yazdı .
Holley, Mythos Preview'ın, yakın zamana kadar yalnızca seçkin insan analistlerin gerçekleştirebildiği türden küresel, anlamsal akıl yürütmeyi büyük ve karmaşık bir kod tabanı üzerinde sergilediğini söylüyor. Buna karşılık, Mozilla, Anthropic'in önceki Opus 4.6 modelini Firefox 148'e yönlendirdiğinde, yapay zeka yalnızca 22 "güvenlik açısından hassas" hata tespit etmişti.
Holley, yeni modelin artık en iyi insan yetenekleriyle rekabet edebilecek düzeyde olduğunu savunuyor. "Bilgisayarlar birkaç ay önce bunu yapmaktan tamamen acizdi, şimdi ise bunda mükemmeller," diye yazıyor Holley. "Dünyanın en iyi güvenlik araştırmacılarının çalışmalarını inceleme konusunda uzun yıllara dayanan deneyimimiz var ve Mythos Preview de en az onlar kadar yetenekli."
Temel iddia, Mythos'un insanların göremediği niteliksel olarak yeni türde kusurlar bulması değil. Holley, Firefox 150'de ortaya çıkardığı güvenlik açıklarının, prensip olarak, yoğun fuzzing yoluyla veya "elit bir güvenlik araştırmacısı"nın kodu metodik olarak inceleyerek de keşfedilebileceğini belirtiyor. Aradaki fark maliyet ve verimlilikte.
Aylar süren ve maliyetli insan emeğiyle tek bir hatayı bulmaya çalışmak yerine, Mythos kod tabanının büyük bölümlerini tarayarak mühendislerin önceliklendirebileceği ve yamalayabileceği yüksek hacimli bir sorun listesi oluşturabilir.
Mozilla'nın anlatımına göre, bu değişim yazılım güvenliğinin ekonomisini değiştiriyor. Holley, savunmacıların kendi kodlarında istismar edilebilir kalıpları bulmasının ucuz hale gelmesiyle, aynı yapay zeka yetenekleri sonunda saldırı ekiplerinin kullanımına sunulsa bile, dengenin saldırganlar aleyhine kaydığını savunuyor.
Wired'a verdiği demeçte, "Bizim inancımıza göre, bu araçlar işleri önemli ölçüde değiştirdi, çünkü artık bildiğimiz kadarıyla güvenlik açığına yol açan hataların tüm alanını kapsayabilen otomatik tekniklere sahibiz" dedi. Mozilla'nın Firefox'u piyasaya sürme yaklaşımı, bu araçlara yanıt olarak şimdiden gelişmeye başladı. Bobby Holley, yapay zeka destekli kod incelemesini, Mythos gibi modellerin olgun kod tabanlarının derinliklerinde daha önce gizli kalmış çok sayıda hatayı ortaya çıkarabileceği için, yazılımın geçmesi gereken yoğun ve zorunlu bir aşama olarak tanımlıyor.
Ayrıca bu uyarlamanın kaynak yoğun bir süreç olduğu konusunda da uyarıda bulunuyor. Büyük teknoloji şirketlerindeki yöneticilerle yapılan görüşmelerde, bazılarının ürünlerini bu yeni yapay zeka destekli güçlendirme sürecinden geçirmek için aylarca binlerce mühendisi yeniden görevlendirmek zorunda kalacaklarını söylediklerini belirtiyor.
Bu durum, internetin kritik altyapısının büyük bir kısmının küçük ekipler veya hatta bireysel gönüllüler tarafından sürdürüldüğü açık kaynak kodlu yazılımlar için en belirgin sonuçları doğuruyor. Firefox'un kodu herkese açık olduğundan, yetenekli herhangi bir güvenlik açığı avlama modeli için açık bir hedef oluşturuyor. Holley, birçok geliştiricinin bu yapay zeka araçlarından yararlanmak veya ortaya çıkardıkları sorunlar seline karşı harekete geçmek için hem erişime hem de kapasiteye sahip olmadığını belirtiyor.
Mozilla CTO'su Raffi Krikorian da yapay zekâ destekli güvenlikten kimin fayda sağladığı konusunda benzer endişeleri dile getirdi. Yakın zamanda New York Times'da yayınlanan bir görüş yazısında, Mythos'un yazılımdaki mevcut yapısal dengesizlikleri daha da derinleştirebileceğini savunuyor . Altyapının temel ekonomisinin değişmediğini iddia ediyor: Modern teknoloji yığınının temelini oluşturan kritik açık kaynak bileşenleri hala büyük ölçüde gönüllüler tarafından sürdürülürken, büyük şirketler bu çalışmadan anlamlı bir şekilde finansman sağlamadan kar elde ediyor.
Yeni ve güçlü yapay zeka güvenlik yeteneklerinin devreye girmesiyle birlikte, kaynakları bol olan kuruluşların erişim sağlayan, sistemlerini güçlendiren ve risklerini azaltan ilk kuruluşlar olabileceği, buna karşılık yetersiz fonlanan projelerin ve daha küçük oyuncuların ise aynı derecede veya daha da savunmasız kalabileceği konusunda uyarıda bulunuyor.
Holley, Firefox ekibinin hem resmi iş birlikleri hem de diğer açık kaynak projeleriyle kurulan daha geçici ilişkiler yoluyla öğrendiklerini zaten paylaştığını söylüyor. Aynı zamanda, otomasyonun açık kaynak ekosistemini şekillendiren daha derin yapısal sorunları çözemeyeceğinin altını çiziyor. Ona göre, yapay zeka güvenlik açığı tespitini ölçeklendirebilir, ancak gerçek kısıtlamalar insan kaynaklıdır: zaman, para, dikkat ve koordinasyon. Bunların ele alınması, yalnızca teknik bir çözümden ziyade, sektör genelinde koordineli bir çaba gerektirecektir.
Kaynak :
https://www.techspot.com/news/112156-mo ... -bugs.html
