जब एंथ्रोपिक ने अप्रैल में अपना नया मॉडल, माइथोस जारी किया, तो एआई लैब ने उसी समय सॉफ्टवेयर विकास उद्योग को एक कड़ी चेतावनी जारी की। ऐसा कहा जाता है कि यह मॉडल सॉफ्टवेयर सुरक्षा कमजोरियों को दूर करने में बेहद सक्षम है और इसने हजारों उच्च जोखिम वाली कमजोरियों की खोज की है। जब तक इन समस्याओं की मरम्मत नहीं हो जाती, मॉडल बाहरी दुनिया के लिए पूरी तरह से खुला नहीं हो सकता।
अब, पहली बार, मोज़िला फ़ायरफ़ॉक्स ब्राउज़र सुरक्षा शोधकर्ताओं ने व्यवस्थित रूप से इस बात का खुलासा किया है कि यह प्रक्रिया वास्तविक इंजीनियरिंग में कैसे काम करती है, और यह समझाने की कोशिश की है कि समग्र सॉफ़्टवेयर सुरक्षा पारिस्थितिकी तंत्र के लिए मिथोस का क्या अर्थ है। मोज़िला ने गुरुवार को एक पोस्ट में कहा कि मिथोस ने फ़ायरफ़ॉक्स में कई उच्च-गंभीर कमजोरियों को उजागर किया है, जिनमें से कुछ एक दशक से अधिक समय से कोड में निष्क्रिय हैं।
केवल आधे साल में, AI सुरक्षा उपकरणों की उपयोगिता में महत्वपूर्ण उछाल आया है। अतीत में, विभिन्न एआई स्वचालित त्रुटि-जाँच उपकरण अक्सर बहुत शोर करते थे, जिससे सुरक्षा टीम अक्सर खराब गुणवत्ता और बड़ी संख्या में झूठी सकारात्मक रिपोर्टों से भर जाती थी, जिससे इंजीनियरिंग टीम को सामना करने के लिए संघर्ष करना पड़ता था। मोज़िला के शोधकर्ताओं का मानना है कि उपकरणों की नई पीढ़ी "एक विभक्ति बिंदु पर पहुंच गई है," विशेष रूप से इसमें "एजेंट जैसी" क्षमताएं होने के बाद। मॉडल अपने स्वयं के विश्लेषण परिणामों का द्वितीयक मूल्यांकन और स्क्रीनिंग कर सकता है, जिससे बड़ी संख्या में अविश्वसनीय आउटपुट फ़िल्टर हो सकते हैं।
शोधकर्ताओं ने लिखा, "यह कहना मुश्किल है कि कुछ महीनों के भीतर इस बदलाव ने हम पर कितना प्रभाव डाला।" "सबसे पहले, मॉडलों की क्षमताओं में काफी सुधार हुआ है; दूसरी बात, इन मॉडलों को नियंत्रित करने के तरीके में हमारी प्रौद्योगिकी स्टैक में भी तेजी से सुधार हुआ है।"
विशेष रूप से परिणाम स्तर पर, परिवर्तन विशेष रूप से सहज हैं: अप्रैल 2026 में, फ़ायरफ़ॉक्स ने कुल 423 भेद्यता फिक्स पैच जारी किए, जबकि एक साल पहले इसी महीने में, यह संख्या केवल 31 थी। अनुसंधान टीम ने 12 कमजोरियों के तकनीकी विवरण का भी खुलासा किया, जिसमें दो दुर्लभ सैंडबॉक्स सुरक्षा तंत्र की खामियां और एक 15-वर्षीय HTML शामिल है। तत्व पार्सिंग त्रुटि.
मोज़िला के प्रतिष्ठित इंजीनियर ब्रायन ग्रिंस्टेड ने टेकक्रंच के साथ एक साक्षात्कार में कहा, "ये उपकरण अब अचानक उपयोग में बहुत आसान हो गए हैं।" "हम इसे अपने आंतरिक स्कैनिंग सिस्टम पर देखते हैं, हम बाहरी रूप से और पूरे उद्योग में प्रस्तुत भेद्यता रिपोर्ट में समान प्रवृत्ति देखते हैं।"
सबसे खास बात यह है कि माइथोस ने ब्राउज़र के "सैंडबॉक्स" तंत्र से संबंधित कई कमजोरियों को खोजने में मदद की। उद्योग में, इस प्रकार की भेद्यता को हमेशा खोजना सबसे कठिन और हानिकारक खामियों में से एक माना गया है: सैंडबॉक्स कमजोरियों को सफलतापूर्वक खोजने और सत्यापित करने के लिए, मॉडल को न केवल दुर्भावनापूर्ण परिवर्तनों के साथ एक पैच लिखने में सक्षम होना चाहिए, बल्कि इस नए कोड को पेश करने के बाद ब्राउज़र के सबसे संरक्षित हिस्सों पर हमला करने में भी सक्षम होना चाहिए। इस प्रक्रिया के लिए बहु-चरणीय संचालन के बीच सख्त तर्क और पर्याप्त रचनात्मकता बनाए रखने की आवश्यकता होती है, और यह पारंपरिक दोष खनन की तुलना में कहीं अधिक कठिन है।
मूल्य को आर्थिक प्रोत्साहन के संदर्भ में भी देखा जा सकता है। मोज़िला का बग बाउंटी प्रोग्राम फ़ायरफ़ॉक्स सैंडबॉक्स कमजोरियों के लिए $20,000 का अधिकतम इनाम प्रदान करता है, जो किसी भी भेद्यता श्रेणी की उच्चतम इनाम सीमा है। फिर भी, ग्रिंस्टेड ने कहा कि मिथोस को अब मानव सुरक्षा शोधकर्ताओं की तुलना में अधिक सैंडबॉक्स-संबंधी मुद्दे मिले हैं, जो अतीत में संयुक्त रूप से इनामों के माध्यम से सामने आए थे। उन्होंने कहा, "हमें सैंडबॉक्स की कमजोरियों की रिपोर्ट मिलती है, लेकिन मात्रा के संदर्भ में, यह इस नई तकनीक का उपयोग करके हमने जो खोज की है, उससे बहुत कम है।"
यह ध्यान देने योग्य है कि एआई कोड जनरेशन टूल में उद्योग की महत्वपूर्ण प्रगति के बावजूद, फ़ायरफ़ॉक्स टीम वर्तमान में इन कमजोरियों को ठीक करने के लिए सीधे एआई पर निर्भर नहीं है। टीम के पास प्रत्येक भेद्यता के आधार पर पैच उत्पन्न करने का मॉडल होगा, लेकिन ये स्वचालित रूप से उत्पन्न कोड आमतौर पर सीधे बैकबोन में एकीकृत नहीं किए जा सकते हैं और केवल मानव इंजीनियरों के लिए फिक्स लिखने के लिए एक संदर्भ टेम्पलेट के रूप में उपयोग किया जा सकता है।
"इस लेख में उल्लिखित प्रत्येक कमजोरियों के लिए, एक इंजीनियर ने पैच लेखन पूरा किया, और दूसरे इंजीनियर ने कोड समीक्षा पूरी की।" ग्रिन्स्टेड ने जोर दिया। "हमें अभी भी इस प्रक्रिया को पूरी तरह से स्वचालित करने का कोई विश्वसनीय तरीका नहीं मिला है।"
अधिक वृहद स्तर पर, यह अभी भी स्पष्ट नहीं है कि एआई क्षमताओं का तेजी से विकास नेटवर्क अपराध और रक्षा के बीच शक्ति संतुलन को कैसे बदल देगा। मिथोस का पूर्वावलोकन संस्करण जारी हुए एक महीने से अधिक समय हो गया है, और खोजी गई अधिकांश खामियां अभी भी ठीक होने की प्रक्रिया में हैं, जिसका अर्थ यह भी है कि बाहरी दुनिया के लिए इसके दीर्घकालिक प्रभाव का पूरी तरह से आकलन करना मुश्किल है। एंथ्रोपिक सख्ती से जिम्मेदार प्रकटीकरण प्रथाओं का पालन कर रहा है और धीरे-धीरे प्रासंगिक परियोजनाओं के साथ भेद्यता विवरणों को संप्रेषित कर रहा है, लेकिन यह अनुमान लगाना उचित है कि कुछ दुर्भावनापूर्ण अभिनेता भी निजी तौर पर इसी तरह की तकनीकों की कोशिश कर रहे हैं, भले ही वे जिन मॉडलों का उपयोग करते हैं वे अभी भी क्षमताओं में हीन हैं।
हाल ही में एक सार्वजनिक कार्यक्रम में, एंथ्रोपिक सीईओ डारियो अमोदेई इस प्रवृत्ति के बारे में अपेक्षाकृत आशावादी थे। उनके विचार में, यदि उद्योग ऐसे उपकरणों के उपयोग को ठीक से नियंत्रित करता है, तो रक्षक आज की तुलना में बेहतर स्थिति में हो सकते हैं। अमोदेई ने कहा, "अगर हम इसे सही तरीके से करते हैं, तो उम्मीद है कि हम ऐसी स्थिति में पहुंचेंगे जो हमारी शुरुआत से कहीं अधिक सुरक्षित होगी क्योंकि हम इन कमजोरियों को एक-एक करके ठीक करने जा रहे हैं।" "कमजोरियों की कुल संख्या सीमित है, इसलिए इसके बाद एक बेहतर दुनिया की शुरुआत करना संभव है।"
इसके विपरीत, ग्रिंस्टेड, जो लंबे समय से अग्रिम पंक्ति में कमजोरियों से निपट रहा है, अधिक सतर्क है। "यह उपकरण हमलावरों और रक्षकों के लिए समान रूप से उपयोगी है, लेकिन इसकी लोकप्रियता ने कम से कम कुछ हद तक लाभ को रक्षक की ओर झुका दिया है," उन्होंने कहा। "अधिक यथार्थवादी कथन यह है कि अभी कोई भी इस प्रश्न का अंतिम उत्तर नहीं दे सकता है।"