В последние годы разработчики программного обеспечения столкнулись с неожиданной проблемой: искусственный интеллект способен генерировать огромное количество сообщений об ошибках, но далеко не все из них оказываются полезными. Многие проекты с открытым исходным кодом буквально захлебнулись в потоке сомнительных баг-репортов, созданных нейросетями.
Однако у этой технологии есть и другая сторона. В Mozilla решили использовать возможности ИИ более осмысленно — и, судя по первым результатам, эксперимент оказался весьма успешным. Совместная работа с компанией Anthropic уже помогла обнаружить и исправить десятки уязвимостей в браузере Firefox.
Новый подход к поиску уязвимостей
Недавно специалисты команды Frontier Red Team из Anthropic предложили разработчикам Mozilla протестировать новый метод поиска ошибок с помощью искусственного интеллекта.
Речь идёт не просто о генерации случайных отчётов. Система анализирует исходный код и пытается выявить потенциально опасные участки, после чего создаёт минимальные тестовые примеры — небольшие сценарии, позволяющие быстро воспроизвести найденную проблему. Для разработчиков это крайне важно: возможность оперативно подтвердить баг экономит огромное количество времени.
Для эксперимента исследователи выбрали один из самых сложных и критически важных компонентов браузера — движок JavaScript. Почему именно его?
Во-первых, кодовая база Firefox открыта и тщательно изучается сообществом. Во-вторых, именно движок JavaScript отвечает за выполнение кода веб-страниц, а значит, любые ошибки здесь потенциально могут стать серьёзными уязвимостями безопасности.
Что удалось найти
Результаты оказались впечатляющими.
Разработчики Mozilla подтвердили 14 серьёзных уязвимостей, каждая из которых могла представлять реальную угрозу безопасности. Для них было зарегистрировано 22 отдельных идентификатора CVE — международной системы отслеживания уязвимостей.
Все эти проблемы уже устранены в последнем выпуске браузера — Firefox 148.0.
Кроме того, система помогла обнаружить ещё около 90 ошибок более низкого приоритета. Хотя они не представляли критической угрозы, их также исправили в процессе обновления.
Чем этот метод отличается от других AI-инструментов
В Mozilla подчёркивают: подход Anthropic заметно отличается от того, как ИИ используют многие энтузиасты.
Некоторые крупные open-source-проекты, включая библиотеку curl, недавно были вынуждены ограничить или вовсе запретить отчёты об ошибках, созданные нейросетями. Причина проста — поток низкокачественных заявок от пользователей, пытающихся получить вознаграждение по программам bug bounty.
Метод Anthropic работает иначе. Он не просто «предполагает» наличие ошибки, а сопровождает каждую находку конкретным воспроизводимым тестом, который позволяет разработчикам быстро проверить результат.
Как работает поиск ошибок с помощью ИИ
Многие из найденных уязвимостей традиционно выявляют с помощью метода фаззинга (fuzzing).
Что это такое? Если упрощённо, программа получает огромное количество случайных или нестандартных входных данных. Цель — заставить систему «сломаться» и выявить слабые места в коде.
Но у фаззинга есть ограничения. Он хорошо обнаруживает ошибки, приводящие к сбоям или аварийному завершению программы, однако логические ошибки — когда код работает неправильно, но не падает — часто остаются незамеченными.
И вот здесь на сцену выходит искусственный интеллект. По словам специалистов Mozilla, модель Anthropic смогла выявить несколько классов логических багов, которые классические инструменты тестирования обычно пропускают.
Почему это может изменить разработку open-source
Увидев результаты эксперимента, Mozilla планирует включить новый метод в свой стандартный процесс разработки и проверки безопасности.
В будущем модели семейства Claude — нейросети Anthropic — могут помочь выявлять ещё больше уязвимостей в Firefox и других проектах.
Если технология окажется масштабируемой, её влияние может выйти далеко за пределы одного браузера. Многие крупные проекты с открытым исходным кодом уже достигли предела эффективности традиционных методов тестирования.
ИИ может стать тем самым инструментом, который позволит обнаружить тысячи ранее «невидимых» ошибок — тех, что годами скрываются в сложных системах и проявляются только в редких условиях.
История с Firefox показывает любопытный поворот в развитии искусственного интеллекта. Да, нейросети способны создавать хаос в системах отслеживания ошибок. Но при правильном подходе они становятся мощным инструментом для повышения безопасности программного обеспечения.
