Mozilla Firefox 150 с исправлениями 271 уязвимости. Anthropic Claude Mythos меняет подход к аудиту кода
За прошедшие годы индустрия привыкла к тому, что наиболее опасные ошибки в веб-браузерах появляются по одной, после длительного изучения кода или в рамках вознаграждения за обнаружение ошибок. На этот раз масштаб впечатляет совсем по другой причине. Mozilla показала, как может выглядеть массовая проверка старого, сложного для понимания кода, когда в дело вступает специализированная модель искусственного интеллекта, которая не завершает работу сразу после первой находки.
Искусственный интеллект не сделал внезапно Mozilla Firefox менее безопасным. Это привело к тому, что скрытые ошибки стали очевидными.
APT28 заменяет маршрутизаторы TP-Link и MikroTik. NCSC предостерегает от перехвата DNS и кражи паролей
271 уязвимость в приложении звучит как полный конфуз для его производителя, но есть в этой истории и другое, более тревожное. Firefox не стал внезапно более уязвимым, индустрия только что получила инструмент, который может решать старые проблемы гораздо быстрее, чем раньше. Mozilla сообщила, что предыдущие тесты с Claude Opus 4.6 привели к исправлению 22 ошибок в Firefox 148, а последующая попытка с ранней версией Claude Mythos Preview добавила 271 уязвимость, исправленную в Firefox 150. Масштаб очистки также виден в рекомендациях MFSA 2026-30, где наряду с 42 записями CVE есть коллективные записи, охватывающие большие пакеты ошибок безопасности памяти.
Польский правительственный мессенджер mSzyfr вступает в тестирование. Основное внимание уделяется Matrix, E2EE и национальной инфраструктуре.
Вывод прост. Обновление браузера больше не является скучной рутинной работой, а стало реальным ответом на новую экономику атак, в которой уязвимости можно обнаружить и использовать быстрее, дешевле и в большем масштабе, чем когда-либо прежде. Mozilla утверждает, что Mythos может находить классы ошибок, которые раньше требовали утомительного чтения кода ведущими специалистами по поиску. Традиционный фаззинг, метод тестирования программного обеспечения, который автоматически подает программе большое количество случайных или полуслучайных входных данных, чтобы проверить, не выйдет ли она из строя, не выдаст ошибку или не поведет себя неожиданным образом, привел к неравномерному охвату. Он успешно решал простые случаи, но часто пропускал более сложные, глубоко скрытые пути в коде. Мы уже писали о панели AI в Firefox, последующем добровольном подходе к функциям искусственного интеллекта и попытках совместить новизну с конфиденциальностью. На этот раз ИИ не на боковой панели. Она опускается на уровень ниже и выступает в качестве дополнительной аудиторской группы.
Adobe активно исправляет известную ошибку в Acrobat Reader. Вредоносный PDF-файл злоупотреблял JavaScript и привилегированными API.
По сравнению с конкурентами, речь идет не о функции, которую Mozilla будет продавать в таблице рядом с Google Chrome или Microsoft Edge, а об изменении технологии. Поскольку Anthropic и OpenAI внедряют модели кибербезопасности, каждый крупный проект должен будет пройти аналогичный учебный курс по безопасности, а у более мелких проектов с открытым исходным кодом может просто не хватить для этого людей и денег. И в этом вся суть. Сегодня ИИ не обеспечивает безопасность для разработчиков программного обеспечения, он лишь резко сокращает время, в течение которого скрытые ошибки выявляются. Кто быстро отреагирует, тот сократит технический долг. Любой, кто не ответит, получит его в комплекте с будущими обновлениями.
Источник: Блог Mozilla, Рекомендации по безопасности Mozilla Foundation, Anthropic.
