Mozilla, Mythos'un bulduğu 271 güvenlik açığında neredeyse hiç yanlış pozitif olmadığını söylüyor

Mozilla, kâr amacı gütmeyen bir vakıf olarak yönettiği Firefox tarayıcısının güvenlik mühendisliği sürecini yapay zeka destekli yeni bir araçla genişletti. Mythos adlı sistem, milyonlarca satırlık C++ ve Rust kodunu tarayarak bellek güvenliği ve girdi doğrulama sınıfındaki açıkları çıkartıyor. Kuruluş, aracın tespit ettiği 271 güvenlik açığının neredeyse tamamının insan denetiminden geçtikten sonra gerçek hata olarak doğrulandığını belirtti.

Mozilla, statik analiz araçlarının uzun yıllardır yüksek yanlış pozitif oranıyla mühendislerin zamanını aşındırdığını ifade ediyor. Mythos, büyük dil modelini kod akışı analizi ve sembolik yürütme ile birlikte çalıştırarak hangi raporların gerçek bir saldırı vektörü oluşturduğunu önceliklendiriyor. Vakıf, tetiklenen yamaların önemli bir bölümünün kritik veya yüksek öneme sahip olduğunu ve bug bounty programlarındaki dış araştırmacılardan önce kapatıldığını söyledi.

Firefox, açık kaynaklı dünyada yapay zeka destekli güvenlik araçlarına 'tamamen ikna olduğunu' söyleyen ilk büyük projelerden biri konumunda. Google'ın Big Sleep ve Microsoft'un Copilot Security girişimleri benzer yaklaşımı izliyor; ancak bu sistemlerin yanlış pozitif oranları henüz şeffaf biçimde paylaşılmadı. Mozilla, Mythos'un metodolojisini ve hata sınıflandırmasını önümüzdeki haftalarda araştırmacılarla paylaşacağını duyurdu.