在亲自“吃到后果”之后,Mozilla 筹划将这套 AI 帮助办法进一步融入自身更广泛的安然与开辟工作流中。该组织预期,跟着 Anthropic 的 Claude 系列以及其他先辈 AI 体系的持续演进,它们在将来有望赞助 Firefox 挖出更多潜在问题,为浏览器用户供给更强的防护层。
据介绍,此次合作由 Anthropic 的 Frontier Red Team 率先提议,对方在几周前携一套新开辟的 AI 帮助“挖洞”办法接洽 Mozilla,并给出了在 Firefox 上的初步测试成果。Mozilla 称,这一办法在实际验证中后果明显,有望在更大年夜范围内晋升 Firefox 用户的整体安然性。
在技巧层面,Anthropic 团队将目标锁定在 Firefox 的 JavaScript 引擎上。一方面,Firefox 作为开源浏览器,“红熊猫”(Red Panda)的代码库广泛应用、经久被深刻审查,异常合适作为测试新分析技巧的对象;另一方面,JS 引擎本身也是浏览器最关键、最复杂、最轻易成为进击进口的组件之一。AI 体系不仅在引擎中发掘出了多个安然缺点,还能主动生成最小化测试样例,赞助 Firefox 开辟者快速复现问题,加快修复流程。
综合这轮测试成果,开辟团队确认了 14 个高严重度的安然马脚,并据此挂号了 22 条 CVE 记录;与此同时,AI 还挖出约 90 个优先级较低的缺点,今朝这些问题也已经陆续获得修复。Mozilla 表示,这些成果已经全部合入最新宣布的 Firefox 148.0 版本中,用户更新浏览器即可获得响应防护。
Mozilla 特别强调,Anthropic 的 AI 申报模式与近期饱受诟病的“AI 抄功课挖马脚”截然不合。此前包含 curl 在内的一些大年夜型开源项目,不得不公开劝退甚至禁止未经核查的 AI 生成马脚申报,因为它们往往质量低劣、充斥“幻觉”,只是部分用户为蹭马脚嘉奖而批量提交的噪音。比拟之下,此次 Claude AI 的输出质量高,可复现性强,削减了保护者在筛选垃圾申报上的包袱。
从马脚类型看,本次借助 Anthropic 办法发明的很多问题,本应也可以经由过程传统模糊测试(fuzzing)等主动化手段发掘——这类技巧经由过程向软件注入大年夜量异常输入,不雅察是否产生崩溃或异常行动。然而,Mozilla 指出,AI 模型还成功找到了若干“逻辑马脚”类别,这类问题往往难以被纯真依附随机输入的 fuzzing 射中,说来岁夜型模型在懂得法度榜样逻辑、构造更有针对性的测试场景方面具备优势。
Mozilla 还表示,假如这类办法在范围化应用上持续证实可行,不仅 Firefox,本轮测验测验中验证有效的技巧也有机会推广到其他风行开源项目中应用。在传统 fuzzing 与既有对象已经接近“天花板”的代码库里,引入 AI 可能成为冲破口,赞助社区发掘大年夜量此前被视为“几乎弗成发明”的深层马脚。
当前,Mozilla 已在 Firefox 148 中参加了备受存眷的 AI 开关选项,许可用户更精细地控制浏览器中的 AI 功能,同时在底层借助 AI 加固安然,这也表现了其在 AI 时代同时看重用户控制权与安然性的策略构造。
发表评论 取消回复