שיתוף פעולה עם מוזילה לשיפור אבטחת Firefox
מודלי בינה מלאכותית (AI) מגיעים לרמות חסרות תקדים של יכולת בזיהוי עצמאי של חולשות אבטחה בקוד תוכנה מורכב. לאחרונה, אנתרופיק (Anthropic), חברת AI בטיחות ומחקר, חשפה כי מודל ה-LLM שלה, Claude Opus 4.6, איתר 22 חולשות אבטחה ב-Firefox תוך שבועיים בלבד, מתוכן 14 הוגדרו על ידי מוזילה כחמורות במיוחד. מדובר בכחמישית מכלל חולשות האבטחה הקריטיות של Firefox שתוקנו בשנת 2025. נתון זה ממחיש כיצד AI מאיצה באופן דרמטי את תהליך איתור חולשות אבטחה חמורות.
הישג זה הוא פרי שיתוף פעולה הדוק עם חוקרים ממוזילה, אשר כלל דיווח על מספר רב של ממצאים וסיוע בהבנת תהליך הדיווח. מוזילה שילבה את התיקונים ב-Firefox 148.0, שהושק למאות מיליוני משתמשים. שיתוף פעולה זה, יחד עם הלקחים הטכניים שנלמדו, משמש כמודל לאופן שבו חוקרי אבטחה המתבססים על AI ומפתחי תוכנה יכולים לעבוד יחד כדי להתמודד עם האתגרים הטכנולוגיים של העידן הנוכחי.
מה הלאה לאבטחת סייבר מבוססת AI?
הדרך לשיתוף הפעולה החלה בסוף 2025, כאשר אנתרופיק הבחינה כי Claude Opus 4.5 כמעט השלים את כל המשימות ב-CyberGym, מדד ביצועים לבדיקת יכולותיהם של LLM לשחזר חולשות אבטחה ידועות. במטרה ליצור הערכה מאתגרת ומציאותית יותר, בחרו החוקרים ב-Firefox – פרויקט קוד פתוח עם בסיס קוד מורכב במיוחד ואחד המאובטחים בעולם. מטרתם הייתה לגלות חולשות אבטחה חדשות (novel vulnerabilities) בגירסה העדכנית של הדפדפן, תחילה במנוע ה-JavaScript שלו, שהינו קריטי במיוחד לאבטחה בשל שטח התקיפה הנרחב שלו.
בתוך עשרים דקות בלבד של חקירה, דיווח Claude Opus 4.6 על זיהוי חולשת Use After Free במנוע ה-JavaScript. לאחר אימות עצמאי ומהיר על ידי חוקרי אנתרופיק, הוגש דיווח ל-Bugzilla של מוזילה, כולל תיאור החולשה ופתרון מוצע. בהמשך התהליך, ולאחר שיח טכני עם מוזילה, הוגשו 112 דיווחים ייחודיים, רבים מהם תוקנו כבר ב-Firefox 148, והשאר יתוקנו במהדורות עתידיות.
כדי למדוד את גבולות יכולות הסייבר של קלוד, בחנה אנתרופיק גם את יכולתו של המודל לפתח ניסיונות פריצה (exploits) לחולשות שאיתר. הממצאים הראו כי למרות שקלוד הצליח לפתח ניסיונות פריצה בסיסיים לשתי חולשות מתוך מאות ניסיונות (בעלות של כ-4,000 דולר בקרדיטי API), יכולותיו באיתור חולשות עולות משמעותית על יכולותיו בניצולן. חשוב לציין כי ניסיונות הפריצה הללו פעלו רק בסביבות בדיקה מותאמות שהוציאו מנגנוני הגנה קריטיים כמו ה-sandbox של הדפדפן, מה שהופך אותם ל"גסים" ופחות ישימים בסביבת אמת.
הפער הנוכחי בין יכולות האיתור של מודלי חזית (frontier models) ליכולות ניצול החולשות מעניק יתרון זמני למגנים. עם זאת, התקדמות ה-AI המהירה מצביעה על כך שפער זה לא יימשך לאורך זמן. אנתרופיק קוראת למפתחים לנצל את ההזדמנות הזו ולהכפיל את מאמציהם לאבטח את התוכנה שלהם, בין היתר באמצעות "סוכני תיקון" מבוססי LLM המשתמשים ב"מגני משימות" (task verifiers) לאימות תיקוני באגים. החברה גם מדגישה את חשיבות הכללת קבצי בדיקה, הוכחות קונספט (PoCs) ופתרונות קוד מוצעים בדיווחי חולשות, כדי לסייע למפתחים בתהליך התיקון. אנתרופיק עצמה מתכוונת להרחיב משמעותית את מאמציה בתחום אבטחת הסייבר.
