برای دهه‌ها، مهاجمان در امنیت سایبری برتری داشتند. هوش مصنوعی ممکن است در آستانه تغییر این وضعیت باشد.

در پستی که سه‌شنبه منتشر شد، موزیلا، توسعه‌دهنده مرورگر فایرفاکس، اعلام کرد که یک نسخه اولیه از هوش مصنوعی Claude Mythos شرکت Anthropic — که در هفته‌های اخیر به دلیل مهارت ادعایی خود در امنیت سایبری توجه‌ها را به خود جلب کرده است — به شناسایی ۲۷۱ آسیب‌پذیری در این مرورگر در طول آزمایش‌های داخلی کمک کرده است. این اشکالات در این هفته رفع شدند.

این نتایج نشان می‌دهد که چگونه سیستم‌های پیشرفته هوش مصنوعی می‌توانند پایگاه‌های کد بزرگ را تحلیل کرده و نقاط ضعفی را که قبلاً نیاز به بررسی دستی و گسترده توسط محققان امنیت سایبری انسانی داشتند، پیدا کنند.

موزیلا نوشت: "همانطور که این قابلیت‌ها به دست مدافعان بیشتری می‌رسد، بسیاری از تیم‌های دیگر اکنون همان سرگیجه‌ای را تجربه می‌کنند که ما هنگام نمایان شدن اولین یافته‌ها داشتیم. برای یک هدف مستحکم، تنها یکی از این باگ‌ها در سال ۲۰۲۵ یک هشدار قرمز محسوب می‌شد، و این تعداد زیاد به طور همزمان باعث می‌شود که شما مکث کنید و بپرسید آیا اصلاً می‌توان با آن همگام شد."

موزیلا پیش‌تر یک مدل دیگر Anthropic را آزمایش کرده بود که ۲۲ باگ حساس امنیتی را در نسخه قبلی فایرفاکس شناسایی کرد. علیرغم این موفقیت‌ها، موزیلا اذعان کرد که صنعت امنیت سایبری مدت‌هاست که حذف کامل آسیب‌پذیری‌های نرم‌افزاری را یک "هدف غیرواقعی" تلقی کرده است.

این شرکت نوشت: "تاکنون، صنعت عمدتاً امنیت را به بن‌بست کشانده است. فروشندگان نرم‌افزارهای حیاتی در معرض اینترنت مانند فایرفاکس، امنیت را بسیار جدی می‌گیرند و تیم‌هایی از افراد دارند که هر روز صبح با فکر حفظ امنیت کاربران از خواب بیدار می‌شوند."

موزیلا گفت که سیستم جدید هوش مصنوعی می‌تواند کدهای منبع را تحلیل کرده و آسیب‌پذیری‌ها را به روش‌هایی شناسایی کند که قبلاً به تخصص انسانی کمیاب وابسته بود. با این حال، موزیلا گفت که این شرکت از اینکه هیچ باگی یافت نشد که توسط "یک محقق انسانی نخبه" قابل کشف نبوده باشد، دلگرم شده است.

آنها گفتند: "برخی از مفسران پیش‌بینی می‌کنند که مدل‌های هوش مصنوعی آینده اشکال کاملاً جدیدی از آسیب‌پذیری‌ها را کشف خواهند کرد که فهم فعلی ما از آنها فراتر است، اما ما اینطور فکر نمی‌کنیم. نرم‌افزارهایی مانند فایرفاکس به صورت ماژولار طراحی شده‌اند تا انسان‌ها بتوانند در مورد صحت آنها استدلال کنند. این نرم‌افزار پیچیده است، اما نه به طور دلخواه پیچیده."

با این حال، نتایج نشان می‌دهد که ابزارهای هوش مصنوعی می‌توانند به توسعه‌دهندگان اجازه دهند تا تعداد زیادی از آسیب‌پذیری‌ها را قبل از اینکه مهاجمان از آنها سوءاستفاده کنند، کشف کنند – هرچند برعکس، در دست افراد نادرست، این می‌تواند مشکلات بزرگی برای شرکت‌های نرم‌افزاری و کاربران به همراه داشته باشد.

Mythos که در ماه مارس راه‌اندازی شد، پیشرفته‌ترین مدل Anthropic برای کارهای استدلال، کدنویسی و امنیت سایبری است. مواد داخلی شرکت این سیستم را به عنوان بخشی از یک رده مدل جدید فراتر از سری Opus قبلی این شرکت توصیف می‌کنند.

آزمایش‌های انجام شده قبل از انتشار این مدل نشان داد که می‌تواند هزاران آسیب‌پذیری ناشناخته قبلی را در سیستم‌عامل‌های اصلی و مرورگرهای وب شناسایی کند.

Anthropic دسترسی به این سیستم را از طریق یک برنامه محدود به نام Project Glasswing محدود کرده است، که به شرکت‌های فناوری منتخب – از جمله آمازون، اپل و مایکروسافت – امکان می‌دهد از این مدل برای اسکن نرم‌افزارها برای نقاط ضعف استفاده کنند. این نشان‌دهنده یک تلاش رو به رشد در صنعت امنیت سایبری برای استفاده از سیستم‌های هوش مصنوعی برای شناسایی و رفع آسیب‌پذیری‌ها قبل از اینکه مهاجمان بتوانند از آنها سوءاستفاده کنند، است.

با این حال، همین فناوری می‌تواند اشکال جدیدی از حملات سایبری را نیز ممکن سازد. محققان امنیتی می‌گویند سیستم‌های هوش مصنوعی که قادر به تحلیل کد در مقیاس وسیع هستند، می‌توانند کشف آسیب‌پذیری‌های قابل سوءاستفاده را در نرم‌افزارهای پرکاربرد خودکار کنند.

پس از راه‌اندازی Mythos، آزمایش‌های انجام شده توسط مؤسسه امنیت هوش مصنوعی بریتانیا نشان داد که هوش مصنوعی می‌تواند عملیات سایبری پیچیده‌ای را به صورت خودمختار اجرا کند، از جمله تکمیل یک شبیه‌سازی حمله شبکه شرکتی چند مرحله‌ای بدون کمک انسانی. این قابلیت‌ها توجه دولت‌ها و سازمان‌های اطلاعاتی را به خود جلب کرده است.

علی‌رغم درخواست دولت پرزیدنت دونالد ترامپ برای توقف استفاده از فناوری Anthropic به دلیل درگیری بر سر استفاده از آن در مسائل جنگی و نظارتی، روز دوشنبه فاش شد که آژانس امنیت ملی در حال اجرای Claude Mythos Preview در شبکه‌های طبقه‌بندی شده است، این خبر طبق گفته منابع آشنا با این استقرار منتشر شد. استفاده از Mythos بر علاقه رو به رشد آژانس‌های امنیتی ایالات متحده به توانایی این مدل در شناسایی آسیب‌پذیری‌های حیاتی نرم‌افزار تأکید می‌کند.

عملکرد این مدل همچنین محدودیت‌های سیستم‌های ارزیابی هوش مصنوعی موجود را آشکار کرده است. اوایل این ماه، Anthropic اذعان کرد که چندین معیار امنیت سایبری دیگر برای اندازه‌گیری قابلیت‌های جدیدترین مدل‌های آن کافی نیستند.

موزیلا گفت که نتایج به یک تغییر احتمالی در امنیت سایبری اشاره می‌کند، جایی که مدافعان ممکن است شروع به کاهش برتری دیرینه مهاجمان کنند.

موزیلا نوشت: "ما بسیار مفتخریم که تیم ما چگونه برای مقابله با این چالش برخاست، و دیگران نیز همین کار را خواهند کرد. کار ما هنوز به پایان نرسیده است، اما ما از پیچ عبور کرده‌ایم و می‌توانیم آینده‌ای بسیار بهتر از صرفاً همگام ماندن را ببینیم. مدافعان بالاخره فرصتی برای پیروزی قاطعانه دارند."

موزیلا بلافاصله به درخواست Decrypt برای اظهار نظر پاسخ نداد.