Zespół bezpieczeństwa Mozilla opublikował 7 maja 2026 r. szczegółowy raport opisujący, jak model Anthropic Mythos zmienił podejście firmy do cyberbezpieczeństwa przeglądarki Firefox. W ciągu jednego miesiąca — kwiecień 2026 r. — przeglądarka naprawiła 423 błędy, czyli czternaście razy więcej niż w analogicznym miesiącu roku poprzedniego. Część z wykrytych luk istniała w kodzie od ponad 15 lat.
Najważniejsze w skrócie
- Kwiecień 2026: Firefox naprawił 423 błędy — wobec 31 w tym samym miesiącu rok wcześniej (wzrost 13,7x)
- Mythos wykrył luki w sandbox Firefox — najdrożej wyceniany typ błędu w programie bug bounty Mozilla (do 20 000 USD)
- 15-letni błąd w parsowaniu elementu HTML wykryty automatycznie — nie przez człowieka
- Anthropic zapowiedział Mythos w kwietniu 2026 z ostrzeżeniem o tysiącach krytycznych luk — Firefox jako pierwsza firma ujawnia wyniki procesu
- AI nie naprawia wykrytych błędów — każda poprawka wciąż wymaga inżyniera-człowieka
Jak działa Mythos w procesie wyszukiwania błędów
Mythos to model Anthropic zaprojektowany specjalnie do wyszukiwania luk w oprogramowaniu. Gdy firma zaprezentowała go w kwietniu 2026 r., ogłosiła jednocześnie, że ze względu na skuteczność nie może go natychmiast upublicznić — wymagało to najpierw naprawienia tysięcy wykrytych błędów we współpracy z dostawcami oprogramowania.
Mozilla opisuje szczegółowo mechanizm działania: model nie tylko skanuje kod statycznie, ale tworzy działające exploity demonstrując możliwość wykorzystania luki. W przypadku błędów w sandbox — czyli naruszenia izolacji, która ma chronić system operacyjny przed złośliwym kodem wewnątrz przeglądarki — Mythos pisze zmodyfikowaną wersję przeglądarki, a następnie atakuje tę bezpieczną część własnym kodem. To wieloetapowy proces wymagający zarówno kreatywności, jak i technicznej precyzji.
It is difficult to overstate how much this dynamic changed for us over a few short months. First, the models got a lot more capable. Second, we dramatically improved our techniques for harnessing these models.
Zespół bezpieczeństwa Mozilla, maj 2026.
Sandbox — najtrudniejsza kategoria błędów
Program bug bounty Mozilla wypłaca do 20 000 USD za każdą lukę w sandbox — to najwyższa kwota w całym programie, odzwierciedlająca trudność znalezienia i zademonstrowania takiego błędu. Mimo najwyższej nagrody, Brian Grinstead — wyróżniony inżynier Mozilla — przyznaje, że Mythos odkrywa błędy sandbox w wolumenie nigdy wcześniej nieosiągniętym przez ludzkich badaczy.
"We do get them" — powiedział Grinstead o ludzkich zgłoszeniach błędów sandbox — "but not at the volume that we are able to find with this technique." Dla porównania: przez ostatnie 12 miesięcy Firefox naprawił łącznie więcej błędów sandbox przy wsparciu Mythos niż we wszystkich poprzednich latach programu bug bounty łącznie. Mozilla opublikowała szczegóły 12 odkrytych błędów, w tym agentic AI-owego podejścia do pisania exploitów, dwie luki w sandbox oraz 15-letni błąd w parserze HTML.
AI pisze exploity, człowiek naprawia błędy
Jeden z kluczowych wniosków z raportu Mozilla jest nieintuicyjny: pomimo spektakularnych postępów AI w kodowaniu, Firefox nie używa modeli do pisania poprawek produkcyjnych. Model generuje draft patcha, który służy inżynierowi jako punkt wyjścia lub wzorzec — ale finalny kod zawsze przechodzi przez dwie pary ludzkich oczu: autora i recenzenta.
"For the bugs we're talking about in this post, every single one is one engineer writing a patch and one engineer reviewing it" — wyjaśnił Grinstead. "We have not found it to be automatable." Ta granica między AI jako wykrywaczem błędów a AI jako autorem poprawek jest świadoma: błędy bezpieczeństwa wymagają precyzji i głębokiego rozumienia kontekstu, gdzie weryfikacja ludzka pozostaje niezbędna.
Czy AI faworyzuje obronę czy atak?
Pytanie o równowagę sił w cyberbezpieczeństwie nie ma jednoznacznej odpowiedzi. Dario Amodei (CEO Anthropic) przedstawił optymistyczną tezę: skoro luk jest skończona liczba, ich masowe wykrywanie i naprawianie systemowo wzmacnia obronę. "If we handle this right, we could be in a better position than we started" — stwierdził podczas niedawnego wystąpienia.
Grinstead jest bardziej ostrożny w ocenie: "It's useful for both attackers and defenders, but having the tool available shifts the advantage a little bit to defense. Realistically, nobody knows the answer to this yet." Jeden miesiąc od zapowiedzi Mythos, większość odkrytych błędów w innych projektach oprogramowania prawdopodobnie wciąż nie została naprawiona — co stwarza potencjalne okno dla atakujących, którzy korzystają z podobnych technik.
Dlaczego to ważne?
Skala zmiany jest bezprecedensowa w historii bezpieczeństwa oprogramowania: 13-krotny wzrost liczby naprawionych błędów w ciągu jednego roku, przy czym zmienną jest wyłącznie narzędzie AI, a nie rozmiar zespołu. Dotychczasowe AI-based bug-finding cierpiało na wysokie wskaźniki false positive i zalewało zespoły bezpieczeństwa niskiej jakości raportami. Mythos i podobne modele nowej generacji filtrowały wyniki przez samoocenę — agent weryfikuje własne odkrycia przed zgłoszeniem. To fundamentalna zmiana jakościowa. Równie istotny jest kontekst: Firefox to jedna z niewielu przeglądarek o otwartym kodzie, co umożliwiło Mozilli szczegółową analizę procesu. Jeśli podobne wyniki powtarzają się w zamkniętych systemach, skala nieznanych luk w powszechnym oprogramowaniu może być znacznie większa, niż dotychczas zakładano.
Co dalej?
- Mozilla zapowiedziała kontynuację współpracy z Anthropic i dalszą publikację wyników — kolejny raport ma objąć błędy wykryte w Q2 2026
- Anthropic prowadzi odpowiedzialne ujawnianie błędów w innych projektach zgodnie ze standardami branżowymi — większość nie jest jeszcze naprawiona, co utrzymuje krótkoterminowe ryzyko
- Program bug bounty Mozilla może zostać zrestrukturyzowany: przy wolumenie wykrytych błędów sandbox rosnącym geometrycznie budżet nagród dla ludzi będzie wymagał rewizji
