אוקיי, זה כבר לא “AI שמוצא משהו”. זה “AI שמציף אתכם בכמות ובדיוק של מה שבאמת מסוכן”. בחודש אפריל אנתרופיק חשפה את מודל Mythos, ובמקביל הזהירה שמדובר בכלי חזק במיוחד לזיהוי פרצות בתוכנה. עכשיו, צוותי האבטחה של מוזילה, מאחורי דפדפן פיירפוקס, מפרקים איך זה נראה בפועל ומה זה אומר על אבטחת תוכנה בכלל.
בפוסט שפורסם לאחרונה, מוזילה טוענת ש-Mythos חשף שפע של באגים בעלי חומרה גבוהה. חלקם אפילו היו בקוד כבר יותר מעשור, כמו אותם “באגים עתיקים” שכולם יודעים שהם שם, אבל איכשהו לא באמת מצליחים לאתר אותם בזמן. וזה חשוב: לפני חצי שנה, כלי אבטחה מבוססי AI לרוב היו מייצרים ים של דיווחים באיכות נמוכה, עם הרבה false positives, כלומר התרעות שכביכול נראות כמו בעיה אבל מתבררות כלא באמת פרצה. בקיצור: עוד עבודה לצוותים, פחות שקט נפשי.
מה השתנה: פחות רעש, יותר דיוק
מוזילה מסבירים שהדור החדש של הכלים עבר שינוי מהותי. הסוד הוא לא קסם, אלא תהליך: מערכות agentic יכולות להעריך את העבודה שלהן, לסנן תוצאות גרועות, ולצמצם את כמות “האזעקות השווא”. במילים פשוטות: פחות “אולי”, יותר “כן, זה זה”.
הם גם מציינים שני שדרוגים מרכזיים: המודלים עצמם נהיו יותר מסוגלים, והטכניקות שלהם לניצול המודלים השתפרו בצורה דרמטית. התוצאה? מספרים שמרגישים כמו מעבר ליגה.
המספרים: מ-31 ל-423 תיקונים
במהלך אפריל 2026, Firefox שילחה 423 תיקוני באגים. שנה קודם לכן, באותו טווח זמן, היו רק 31 תיקונים. זה לא “שיפור קטן”. זה שינוי בקצב.
בנוסף, מוזילה פרסמה פירוט על 12 מהבאגים שנמצאו. הטווח פה רחב ומגניב בצורה לא בריאה: מפגיעויות sandbox חריגות ועד שגיאה שגילתה את עצמה רק אחרי 15 שנה באופן שבו הדפדפן מנתח רכיב HTML.
החלק הכי מרשים: sandbox
עכשיו לקטע שעושה לאנשי אבטחה פרצוף של “וואו”. מערכת ה-sandbox של Firefox היא בדיוק המקום שאמור להיות קשה לתקוף. כדי למצוא פגיעות שם, Mythos לא רק צריך לזהות בעיה תאורטית. הוא צריך לכתוב תיקון פגום או “משובש” לדפדפן, ואז ממש לתקוף את החלק המאובטח ביותר דרך הקוד החדש שהוטמע. זה תהליך עדין, רב-שלבי, שדורש גם יצירתיות וגם דיוק טכני.
כדי להבין את גודל ההימור: תוכנית ה-bug bounty של מוזילה משלמת לחוקרים שמצליחים למצוא פגיעות ב-sandbox עד 20,000 דולר. זה הפרס הגבוה ביותר אצלם. ובכל זאת, Grinstead מציין ש-Mythos מגלה יותר בעיות sandbox מאי פעם שחוקרים אנושיים הצליחו בכוחות עצמם.
האם מתקנים אוטומטית בעזרת AI?
הפתעה נוספת: למרות התקדמות בכלי קידוד מבוססי AI, צוות Firefox עדיין לא “סוגר פינות” אוטומטית. הם כן מבקשים מ-AI לכתוב טלאים (patches) לכל באג, אבל הקוד שיוצא בדרך כלל לא מוכן לעלות ישר לפרודקשן. הוא משמש בעיקר כבסיס למהנדס אנושי. בפועל, לפי הצוות, מדובר תמיד באחד שמבצע כתיבת תיקון ואחד שמבצע סקירה. במילים שלהם: לא מצאו שזה משהו שאפשר להפוך לאוטומטי.
אז מי מנצח בקרב: התקפה או הגנה?
השאלה הגדולה היא לא רק “כמה באגים מצאנו”, אלא מה זה עושה לאיזון הכוחות בעולם הסייבר. כי כרגע לא ברור עדיין איך היכולות החדשות ישנו את כל המשחק. אפילו חודש אחרי הצצה של Mythos, רוב הבאגים שזוהו כנראה עדיין לא תוקנו לגמרי, ולכן קשה לתפוס את מלוא ההשפעה.
אנחנו יודעים שאנתרופיק מקפידה על responsible disclosure, כלומר תהליך מסודר לדיווח ותיקון. אבל בעולם האמיתי, שחקנים זדוניים יכולים להשתמש בטכניקות דומות, גם אם המודלים שלהם פחות טובים. כלומר: היכולת עשויה להיות חרב פיפיות.
מנגד, מנכ”ל אנתרופיק דאריו אמודיי נשמע אופטימי: אם עושים את זה נכון, המצב של המגנים יכול להיות טוב יותר מאיפה שהתחלנו, כי בסוף יש רק כל כך הרבה באגים בעולם. מצד שני, Grinstead יותר זהיר: זה כלי שמועיל גם לתוקפים וגם למגנים, אבל עצם הזמינות שלו נוטה מעט את הכף לכיוון ההגנה. האם זה יישאר ככה? אף אחד לא יודע עדיין.
בינתיים, דבר אחד בטוח: אם AI יכול למצוא פגיעויות ישנות, להקטין רעש של false positives, ולהביא קצב תיקונים כמו במספרים האלה, אז סייבר כבר לא משחק של “למי יש יותר זמן”. זה משחק של “מי יש לו יותר יכולת למצוא מהר מה שבאמת נשבר”. וזה, בואו נודה, די מפחיד. וגם די מרגש.
