Mozilla naprawiła 423 bugi bezpieczeństwa w jednym miesiącu. Dla porównania przez cały 2025 było ich 20-30 miesięcznie.
Większość znalazł Mythos.. Zbudowali agentic harness który działa tak: model czyta kod źródłowy, typuje gdzie może być podatność, sam pisze proof-of-concept i odpala go na prawdziwym Firefoksie. Jeśli crash nie nastąpił to odrzuca raport i idzie do następnego pliku. Całość działała równolegle na dziesiątkach VMek, każda grzebała w innym fragmencie kodu. Dzięki temu po raz pierwszy AI nie tylko znajdowała potencjalne bugi ale sama weryfikowała czy są prawdziwe - wcześniej te raporty były znane głównie jako śmieciowe bo nikt ich nie sprawdzał . Efekt: 20-letni bug w XSLT, 15-letni w elemencie legend, sandbox escapes przez race condition w IPC.
Największa beka: Mozilla widziała też co model próbował ale mu nie wyszło. Wielokrotnie szedł w prototype pollution i za każdym razem obijał się o mechanizm z 2022.
@JamesJoyce: Ok, bardzo mnie też ciekawi jak Anthropic zamierza wypuścić tą bestię Mythosa dla mas. Wykopki się prują, że to będzie koniec cybersecurity, ale jakby zastanowić się nad tym, to oprócz białych kapeluszy są też przecież czarne, które tylko pewnie czekają aby przetestować Mythosa nie jako defendera.
Mirki możecie się teraz bać.
Mozilla naprawiła 423 bugi bezpieczeństwa w jednym miesiącu. Dla porównania przez cały 2025 było ich 20-30 miesięcznie.
Większość znalazł Mythos.. Zbudowali agentic harness który działa tak: model czyta kod źródłowy, typuje gdzie może być podatność, sam pisze proof-of-concept i odpala go na prawdziwym Firefoksie. Jeśli crash nie nastąpił to odrzuca raport i idzie do następnego pliku. Całość działała równolegle na dziesiątkach VMek, każda grzebała w innym fragmencie kodu. Dzięki temu po raz pierwszy AI nie tylko znajdowała potencjalne bugi ale sama weryfikowała czy są prawdziwe - wcześniej te raporty były znane głównie jako śmieciowe bo nikt ich nie sprawdzał
.
Efekt: 20-letni bug w XSLT, 15-letni w elemencie legend, sandbox escapes przez race condition w IPC.
Największa beka: Mozilla widziała też co model próbował ale mu nie wyszło. Wielokrotnie szedł w prototype pollution i za każdym razem obijał się o mechanizm z 2022.
https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/