- Mozilla utilizó Mythos AI de Anthropic para encontrar cientos de vulnerabilidades de Firefox, en comparación con investigadores humanos de primer nivel.
- El experimento sugiere que la IA ahora puede descubrir errores complejos a escala a través del código
- Este cambio puede reducir la oportunidad de que los atacantes descubran vulnerabilidades de día cero tradicionalmente valiosas.
Mozilla cree que la IA puede cambiar la forma en que se encuentran los errores, por lo que lanzó una versión del modelo de nube en su propio código de navegador. El equipo de seguridad de la compañía colaboró con Anthropic durante los últimos meses y probó una versión inicial del modelo de vista previa de Cloud Mythos con el código de su navegador.
En solo una ronda de pruebas, el modelo de IA ayudó a encontrar 22 errores sensibles a la seguridad, todos corregidos antes de la última versión de Firefox, junto con otros 90 errores.
“Mythos Preview es lo más capaz posible”, concluye Mozilla, al igual que los mejores investigadores de seguridad del mundo.
El artículo continúa a continuación.
El cuello de botella de los errores
La seguridad del software siempre ha dependido de un pequeño número de personas que pueden leer códigos complejos y ver dónde podría fallar. Estos investigadores no dependen de la fuerza bruta. Se basan en la lógica, identifican cómo interactúan las diferentes partes de un sistema e identifican los lugares donde esas interacciones fallan.
Las herramientas automatizadas como Fuzer pueden probar sistemas a escala, pero tienden a ser desiguales. Exploran a fondo algunas vías y pasan por alto otras por completo. Ahí es donde entran los expertos humanos. Pero los mitos pueden reproducir lo que hicieron los humanos, igualando sus poderes de diferentes maneras.
“Los investigadores de seguridad de élite encuentran errores que no pueden razonarse a través del código fuente. Esto es efectivo, pero requiere mucho tiempo y obstaculiza las escasas habilidades humanas”, explicó Mozilla en su publicación. “Hace unos meses los ordenadores eran completamente incapaces de hacer esto, y ahora lo hacen bien.”
Para el equipo de Mozilla, la respuesta inmediata fue menos una celebración que una reconstrucción. Encontrar una vulnerabilidad crítica utilizada para desencadenar una respuesta enfocada. Encontrar cientos a la vez requiere algo completamente distinto.
Básicamente, la IA ha logrado que no lleve mucho tiempo descubrir errores. Arreglarlo es el desafío.
La evolución de las defensas de ciberseguridad
La industria de la ciberseguridad generalmente asume que la situación favorece a los atacantes, porque un sistema puede tener muchas vulnerabilidades potenciales y un atacante sólo necesita una. Los defensores, por el contrario, deben defenderlo todo.
Por eso, las empresas intentan hacer que sea más costoso explotar las vulnerabilidades en lugar de intentar en vano deshacerse de ellas todas. Las fallas de gran valor, conocidas como día cero, se consideran recursos raros. Pero los modelos de IA como Mythos pueden cambiar esa ecuación.
“Esto puede parecer aterrador de inmediato, pero en última instancia es una gran noticia para los defensores”, escribió la compañía. “Una brecha entre los errores detectables por máquinas y por humanos favorece al atacante, que puede concentrar meses de costoso esfuerzo humano en encontrar un solo error. Cerrar esta brecha socava la ventaja a largo plazo del atacante al hacer que todos los descubrimientos sean más baratos”.
Mozilla lo llama una competencia más equilibrada. Dicho esto, los defectos expuestos por Mythos no son nuevos; Simplemente se volvieron mucho más rápidos. La desafortunada otra cara de esto, que Mozilla decide ignorar, es que los atacantes tienen acceso a las mismas herramientas de IA, y se convierte en una carrera de IA para atacar versus IA para defender.
Si Mythos puede mantener este impulso, los investigadores tendrán que actuar con rapidez para abordarlo. El equipo de Mozilla tuvo que adaptarse rápidamente, centrándose en corregir los errores más importantes y al mismo tiempo mantener estable el código del navegador.
“Hemos dado la vuelta a la esquina y podemos imaginar un futuro mucho mejor que simplemente seguir adelante”, escribió Mozilla. “Los errores son finitos y estamos entrando en un mundo donde finalmente podemos encontrarlos”.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
El mejor portátil empresarial para todos los presupuestos
