Mozilla ha revelado que, en un periodo de dos meses, su uso del modelo AI Mythos ha permitido identificar 271 vulnerabilidades en Firefox, destacando que el proceso ha generado casi cero falsos positivos. Este anuncio se produce en un contexto donde la detección de vulnerabilidades es crucial para la seguridad del software.
El CTO de Mozilla había mencionado previamente que la detección de vulnerabilidades asistida por inteligencia artificial podría cambiar las reglas del juego en la ciberseguridad. Sin embargo, para abordar el escepticismo, la compañía ha compartido detalles sobre cómo su equipo ha optimizado el uso de Mythos. Según los ingenieros de Mozilla, el éxito se debe a dos factores clave: las mejoras en los modelos de AI y el desarrollo de un 'harness' personalizado que guía a Mythos en el análisis del código fuente de Firefox.
Este 'harness' actúa como un marco que permite al modelo AI realizar tareas específicas, facilitando la identificación de errores en el código. Brian Grinstead, ingeniero distinguido de Mozilla, explicó que este enfoque permite que Mythos utilice las mismas herramientas y procesos que los desarrolladores humanos, lo que incrementa la eficiencia y la precisión del análisis.
Además, el proceso incluye una verificación adicional mediante un segundo modelo de AI que evalúa la salida del primero, lo que proporciona a los desarrolladores una confianza similar a la que obtienen de los métodos de descubrimiento tradicionales. Esta metodología ha permitido que, de las 271 vulnerabilidades detectadas, casi todas sean confirmadas sin falsos positivos.
Mozilla también ha hecho públicos los informes completos de Bugzilla para 12 de las vulnerabilidades encontradas, lo que incluye los casos de prueba que desencadenan condiciones de memoria inseguras. Este nivel de transparencia es fundamental para que las empresas comprendan la efectividad de las herramientas de detección de vulnerabilidades y su aplicación en la mejora de la seguridad de sus sistemas.
Comentarios