Em meio a uma fúria debate sobre o impacto que novos modelos de IA terão na segurança cibernética, a Mozilla disse na terça-feira que seu navegador Firefox 150 será lançado esta semana inclui proteções para 271 vulnerabilidades identificadas usando acesso antecipado ao Mythos Preview da Anthropic. A equipe do Firefox diz que foram necessários recursos e disciplina para se ajustar à série de bugs que as novas ferramentas de IA podem descobrir, mas que esse grande aumento é necessário para a segurança dos usuários da Mozilla, visto que os recursos estarão inevitavelmente nas mãos dos invasores em breve.
Tanto a Anthropic quanto a OpenAI anunciaram nas últimas semanas novos modelos de IA que, segundo as empresas, possuem capacidades avançadas de segurança cibernética que podem representar um ponto de viragem na forma como os defensores – e, principalmente, os atacantes – encontram vulnerabilidades e configurações incorretas em sistemas de software. Com isto em mente, as empresas até agora só fizeram lançamentos privados limitados dos seus novos modelos, e ambas também convocaram grupos de trabalho da indústria destinados a avaliar os avanços e a traçar estratégias. Na prática, porém, os especialistas em segurança cibernética têm uma variedade de opiniões sobre o impacto que as novas capacidades terão.
A experiência da Mozilla, pelo menos no curto prazo, mostra que ferramentas de IA como o Mythos Preview podem ter um impacto profundo para os caçadores de vulnerabilidades.
“Acreditamos que as ferramentas mudaram as coisas drasticamente, porque agora temos técnicas automatizadas que podem cobrir, até onde sabemos, todo o espaço dos bugs indutores de vulnerabilidade”, diz Bobby Holley, diretor de tecnologia do Firefox. Durante anos, diz ele, o Firefox e outras organizações confiaram em uma combinação de técnicas automatizadas de busca de vulnerabilidades, como fuzzing de software, e busca manual de vulnerabilidades por pesquisadores internos e externos para encontrar e corrigir falhas. E os invasores têm essas mesmas ferramentas e métodos à sua disposição.
“Havia categorias de bugs que você poderia encontrar com a análise humana e que não conseguiria encontrar com a análise automatizada e, portanto, sempre seria possível se você fosse um ator de ameaça e estivesse disposto a gastar muitos milhões de dólares para encontrar um bug – tentamos elevar o preço disso o mais alto possível”, diz Holley.
Holley agora diz que os recursos emergentes de IA criarão uma espécie de bootcamp pelo qual todo software terá que passar de uma forma ou de outra para encontrar e corrigir um conjunto de vulnerabilidades latentes em seu código. Empresas como a Anthropic e a OpenAI parecem estar tentando fazer com que o maior número possível de participantes importantes passem por essa revisão antes que os recursos estejam mais amplamente disponíveis.
“Todo software terá que fazer essa transição, porque todo software tem muitos bugs enterrados sob a superfície que agora podem ser descobertos”, diz Holley, do Firefox. “Este é um momento transitório que é difícil e requer foco coordenado e muita coragem para passar, mas acho que é um momento finito, mesmo que os modelos se tornem mais avançados. Talvez os modelos mais avançados encontrem algumas coisas aqui ou ali, mas acredito que, pelo menos no lado do Firefox, tendo tido uma certa vantagem aqui, dobramos a curva.”
Holley diz que a equipe do Firefox obteve acesso ao Mythos Preview como parte da colaboração direta com a Anthropic e que a Mozilla não faz parte formalmente de seu consórcio maior, chamado Project Glasswing.
O Firefox é de código aberto, um tipo de software que, em geral, pode ser particularmente impactado pelos novos recursos de busca de bugs de IA, uma vez que muitos projetos de código aberto são amplamente usados e confiáveis em todo o mundo e, ainda assim, são frequentemente mantidos por um grupo muito pequeno de voluntários ou por apenas uma pessoa. E os efeitos podem ser especialmente consequenciais para “abandonware” que já não é mantido.
