Em meio ao intenso debate sobre o impacto dos novos modelos de IA na cibersegurança, a Mozilla informou na terça-feira que a versão 150 do navegador Firefox, lançada nesta semana, inclui proteções para 271 vulnerabilidades identificadas com o uso antecipado do Mythos Preview, da Anthropic.
Segundo a equipe do Firefox, foi necessário investir recursos e disciplina para lidar com o volume de bugs que novas ferramentas de IA conseguem revelar, mas esse esforço é essencial para a segurança dos usuários da Mozilla, já que essas capacidades inevitavelmente também estarão nas mãos de hackers em breve.
Nas últimas semanas, tanto a Anthropic quanto a OpenAI anunciaram novos modelos de IA que, segundo as empresas, têm capacidades avançadas de cibersegurança e podem mudar a forma como defensores e, principalmente, atacantes encontram vulnerabilidades e falhas de configuração em sistemas de software.
Por enquanto, as companhias fizeram apenas lançamentos privados e limitados de seus modelos mais recentes, além de terem reunido grupos de trabalho do setor para avaliar os avanços e discutir estratégias.
Na prática, porém, especialistas em cibersegurança divergem sobre o real peso dessas novas capacidades.
A experiência da Mozilla, ao menos no curto prazo, indica que ferramentas de IA como o Mythos Preview podem ter um impacto profundo na caça a vulnerabilidades.
“Acreditamos que as ferramentas mudaram tudo de forma dramática, porque agora temos técnicas automatizadas que conseguem cobrir, ao que tudo indica, todo o universo de bugs que geram vulnerabilidades”, afirmou Bobby Holley, diretor de tecnologia do Firefox.
Segundo ele, durante anos o Firefox e outras organizações dependeram de uma combinação de técnicas automatizadas de caça a vulnerabilidades, como o software fuzzing, e de análises manuais feitas por pesquisadores internos e externos para encontrar e corrigir falhas.
Os hackers, acrescenta, também tinham acesso às mesmas ferramentas e métodos.
“Havia categorias de bugs que você conseguia encontrar com análise humana, mas não com análise automatizada e, por isso, sempre foi possível, se você fosse um threat actor disposto a gastar muitos milhões de dólares, encontrar um bug.
Tentávamos elevar esse custo ao máximo”, disse Holley.
Agora, Holley afirma que as capacidades emergentes de IA vão criar uma espécie de treinamento obrigatório pelo qual todo software precisará passar, de uma forma ou de outra, para identificar e corrigir um conjunto de vulnerabilidades ocultas em seu código.
Empresas como Anthropic e OpenAI parecem estar tentando levar o maior número possível de grandes players a esse processo antes que as capacidades fiquem amplamente disponíveis.
“Todo software vai precisar fazer essa transição, porque todo software tem muitos bugs enterrados abaixo da superfície, e agora eles podem ser descobertos”, disse Holley.
“Este é um momento transitório, difícil e que exige foco coordenado e muita determinação para ser superado, mas acredito que seja algo finito, mesmo com modelos cada vez mais avançados.
Talvez os modelos mais avançados encontrem algumas coisas aqui e ali, mas acredito que, pelo menos no caso do Firefox, por termos saído na frente, já superamos essa curva.”
Holley afirmou que a equipe do Firefox obteve acesso ao Mythos Preview por meio de uma colaboração direta com a Anthropic e que a Mozilla não faz parte formalmente de um consórcio maior, chamado Project Glasswing.
O Firefox é open source, um tipo de software que pode ser especialmente impactado pelas novas capacidades de IA para caça a bugs, já que muitos projetos de código aberto são amplamente usados e dependidos no mundo todo, mas frequentemente mantidos por um grupo muito pequeno de voluntários, ou até por apenas uma pessoa.
Os efeitos podem ser ainda mais graves no caso de programas abandonados, que já não recebem manutenção alguma.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...