Представьте: вы годами строите крепость. Наняли лучших архитекторов, установили мощные стены, поставили охрану. И вдруг приходит кто-то с волшебным фонарём, который освещает каждую трещину, каждую слабую точку в вашей обороне. За один вечер он находит больше проблем, чем ваши эксперты за десятилетие.
Именно это произошло с Mozilla в апреле 2026 года.
Во вторник компания выпустила Firefox 150 — браузер, который вышел в свет с ошеломляющими 271 исправлением уязвимостей. Все они были обнаружены не людьми, а искусственным интеллектом под названием Mythos от компании Anthropic. Это не просто обновление. Это поворотный момент в истории кибербезопасности, который заставит пересмотреть всё, что мы знали о защите программного обеспечения.
Но давайте разберёмся: действительно ли ИИ стал гением безопасности, или мы просто раздуваем из мухи слона? И главное — что это значит для обычных пользователей, которые просто хотят спокойно сидеть в интернете?
🔬 Цифры, которые меняют правила игры
История одного прорыва
В январе 2026 года Mozilla уже сотрудничала с Anthropic. Тогда модель Claude Opus 4.6 за две недели нашла 22 уязвимости в коде Firefox. 14 из них были серьёзными. Команда безопасности ликовала: это был рекорд! ИИ показал себя многообещающим помощником.
Прошло всего три месяца.
На сцену вышла Mythos Preview — новая, «закрытая» модель, доступ к которой Anthropic предоставила лишь узкому кругу крупных технологических компаний в рамках инициативы Project Glasswing. Никакого публичного релиза, никакого широкого доступа. Только избранные.
Результаты тестирования на Firefox 147 ошеломили даже скептиков:
Mythos сгенерировала 181 рабочий эксплойт
Opus 4.6 в аналогичных условиях создала всего 2 эксплойта
Разница: примерно 90-кратное улучшение
Когда та же модель применили к подготовке Firefox 150, итоговая цифра составила 271 исправленную уязвимость. Для контекста: в хорошо защищённой системе даже одна найденная уязвимость в 2025 году считалась поводом для серьёзной тревоги. А здесь — сотни.
Как это работает на практике
Представьте, что вы ищете опечатки в книге. Старая модель (Opus 4.6) — это внимательный корректор, который за вечер находит пару десятков ошибок. Mythos — это сверхскоростной сканер, который не просто находит опечатки, но и понимает, какие из них меняют смысл предложений, создавая логические противоречия.
Бобби Холли, технический лидер Mozilla, в своём блоге описал шок команды: «Для хорошо защищённой цели даже одна такая уязвимость в 2025 году стала бы поводом для серьёзной тревоги, а столь большое их количество сразу заставляет задуматься: а возможно ли вообще успевать за этим?»
Внутри Mozilla поначалу началась паника. Если ИИ может найти столько проблем, что мешает злоумышленникам сделать то же самое?
Но затем пришло осознание: если защитники получат доступ к таким инструментам раньше атакующих, это станет шансом «победить, решительно».
Что нашли конкретно
Хотя Mozilla не публикует детали всех 271 уязвимости (это же безопасность!), из отчёта Anthropic известно, что Mythos уже обнаружила тысячи уязвимостей нулевого дня в различных системах:
Уязвимость в OpenBSD возрастом 27 лет — код, который четверть века считался безопасным, оказался уязвимым
Баг в FFmpeg возрастом 16 лет — библиотека, которая обрабатывает видео и аудио на миллиардах устройств, содержала скрытую проблему
Эти находки показывают: Mythos не просто ищет очевидные ошибки. Она способна анализировать код, который годами проходил проверки лучших специалистов, и находить то, что все пропустили.
🤖 ИИ против человека — кто победит?
«Ничем не уступает»
Это фраза из блога Mozilla, которая заслуживает отдельного внимания. Бобби Холли написал: команда обнаружила, что Mythos Preview «ничем не уступает» лучшим специалистам по безопасности среди людей.
Но дальше идёт ещё более важное уточнение: «До сих пор мы не встречали ни одного класса или уровня сложности уязвимостей, которые человек мог бы найти, а эта модель — нет».
Давайте остановимся и осмыслим это.
Это НЕ означает, что ИИ превосходит человека во всём. Это означает, что ИИ достиг уровня эксперта-человека. Он может найти всё то же самое, что и лучший специалист. Но не больше.
Разрушаем миф о «сверхразуме»
Существует страх: а вдруг ИИ начнёт находить какие-то принципиально новые классы уязвимостей, о которых люди даже не подозревают? Какие-то сложные математические конструкции в коде, которые человеческий мозг не в состоянии осмыслить?
Mozilla утверждает: нет.
«Мы не столкнулись ни с одной уязвимостью, которую не мог бы найти опытный исследователь-человек», — говорится в отчёте.
Это критически важное наблюдение. Оно означает, что ИИ пока не открыл новую эру «непознаваемой» безопасности. Он просто стал очень быстрым, очень эффективным инструментом, который делает то, что могли бы сделать люди — но требует для этого месяцев или лет работы целой команды.
Почему это одновременно хорошо и плохо
Хорошая новость: защитники получили мощный инструмент. Если у вас есть доступ к Mythos (или аналогичным моделям), вы можете «просканировать» свой код и найти проблемы до того, как это сделают злоумышленники.
Плохая новость: доступ к Mythos ограничен. Anthropic представила модель 7 апреля 2026 года в рамках Project Glasswing, но сделала её доступной только для «узкого круга крупных технологических компаний».
Что это значит на практике?
Google, Microsoft, Apple, Meta — вероятно, имеют доступ
Небольшие компании, стартапы, open-source проекты — нет
Отдельные исследователи безопасности — нет
Это создаёт ситуацию, когда крупные игроки получают преимущество в безопасности, а мелкие остаются уязвимыми. И это парадокс: open-source проекты, которые считаются более безопасными из-за прозрачности кода, могут оказаться под угрозой, потому что у их разработчиков нет доступа к мощным ИИ-инструментам.
Британский институт безопасности ИИ: независимая оценка
Важно отметить: британский институт безопасности ИИ (UK AI Safety Institute) — единственный независимый орган, проводивший оценку Mythos. И их выводы более сдержанны, чем заявления Anthropic.
Институт подтвердил, что Mythos способна взламывать системы со слабой защитой. Однако во всех сценариях она не демонстрирует разительного превосходства над своей предшественницей Opus 4.
Это важное уточнение. Оно говорит о том, что, возможно, Anthropic преувеличивает возможности своей модели в маркетинговых целях. Или о том, что тесты британского института отличались от реального применения в Mozilla.
Истина, как всегда, где-то посередине.
🌍 Переходный период — между хаосом и порядком
«Число дефектов конечно»
Эта фраза Бобби Холли заслуживает того, чтобы стать девизом новой эры кибербезопасности.
«Число дефектов конечно, и мы вступаем в эпоху, когда наконец сможем найти их все».
Подумайте об этом.
Десятилетиями разработчики программного обеспечения жили с мыслью: «Мы никогда не найдём все баги. Всегда будет что-то, что мы пропустили». Это было аксиомой. Как закон Мерфи: если что-то может пойти не так, оно пойдёт не так.
Но теперь появляется надежда: а что, если мы действительно можем найти всё?
Математически это возможно. Код — это конечная последовательность инструкций. Количество возможных состояний программы конечно (хотя и астрономически велико). Теоретически, при достаточной вычислительной мощности и времени, можно проверить каждую ветку кода, каждое условие, каждый возможный ввод данных.
ИИ, такой как Mythos, приближает нас к этой цели. Он не устаёт. Не отвлекается. Может анализировать миллионы строк кода параллельно. И, что важно, он не страдает от «профессиональной слепоты» — когда человек пропускает ошибку, потому что «так не бывает» или «это же очевидно».
Лавина уязвимостей
Но есть и обратная сторона медали.
В блоге Mozilla честно предупреждают: нас ждёт «непростой переходный период». Разработчикам программного обеспечения придётся столкнуться с лавиной вновь обнаруживаемых уязвимостей.
Представьте ситуацию:
Вы — разработчик небольшого приложения. Раньше вы выпускали обновления раз в месяц. Проверяли код, тестировали, выпускали. Всё было более-менее стабильно.
Теперь у ваших конкурентов (или, что хуже, у злоумышленников) появляется ИИ, который за ночь находит в вашем коде 50 уязвимостей. Вам нужно:
Срочно проанализировать каждую
Понять, насколько они критичны
Исправить их
Протестировать исправления
Выпустить обновление
И всё это — за дни, а не за месяцы.
Для крупных компаний вроде Mozilla это ещё более-менее реально. У них есть команды безопасности, процессы, ресурсы. Для небольших студий или индивидуальных разработчиков это может стать непосильной нагрузкой.
Firefox 150: первый шаг в новую эру
Версия Firefox 150, которая начала распространяться среди пользователей во вторник (апрель 2026 года), уже выходит со всеми 271 исправлением в комплекте.
Это исторический момент. Первый массовый продукт, который вышел с таким количеством исправлений, найденных ИИ.
Что это значит для пользователей?
Позитив:
Браузер стал безопаснее
Меньше шансов, что вас взломают через уязвимость в Firefox
Доказательство того, что ИИ может работать на благо
Негатив (потенциальный):
Если детали уязвимостей утекут, злоумышленники могут попытаться атаковать тех, кто не обновился
Огромное количество исправлений может само по себе содержать новые баги (парадоксально, но факт)
Mozilla выбрала стратегию полной прозрачности: они рассказали о сотрудничестве с Anthropic, опубликовали цифры, поделились выводами. Это правильный подход. В безопасности открытость обычно работает лучше, чем секретность.
Что дальше?
Anthropic пока не планирует делать Mythos общедоступной. Модель остаётся в рамках Project Glasswing, доступной только избранным партнёрам.
Но история показывает: технологии всегда находят путь к широкому распространению. Через несколько лет (а может, и месяцев) появятся:
Открытые аналоги Mythos
Сервисы, которые предоставят доступ к таким моделям за плату
Локальные версии, которые можно будет запускать на своих серверах
И тогда начнётся настоящая гонка вооружений. Защитники будут сканировать код на уязвимости. Атакующие — искать те же уязвимости, чтобы их эксплуатировать.
Кто победит?
Тот, кто быстрее. Тот, кто эффективнее. Тот, у кого лучше ИИ.
Mozilla сделала ставку на то, что защитники могут выиграть эту гонку. Firefox 150 — их первый ход в этой игре.
📋 Коротко о главном (TL;DR)
Firefox 150 вышел с 271 исправлением уязвимостей, найденных ИИ Mythos от Anthropic
Предыдущая модель (Claude Opus 4.6) в январе нашла всего 22 уязвимости — рост в 12 раз
Mythos создала 181 рабочий эксплойт против 2 у Opus 4.6 — улучшение в 90 раз
ИИ не превосходит человека в поиске принципиально новых классов уязвимостей — он лишь быстрее находит то, что мог бы найти человек
Доступ к Mythos ограничен — только для крупных tech-компаний в рамках Project Glasswing
Mozilla считает, что «число дефектов конечно» и мы вступаем в эру, когда сможем найти все уязвимости
Нас ждёт переходный период с лавиной новых уязвимостей, к которому не все разработчики готовы
💡 Что это значит
Простыми словами: ИИ стал достаточно умным, чтобы находить ошибки в коде так же хорошо, как лучшие эксперты-люди. Но он делает это в сотни раз быстрее.
Это как если бы вы наняли армию супер-корректоров, которые могут прочитать всю библиотеку за ночь и найти каждую опечатку.
Хорошая новость: защитники получили мощный инструмент. Плохая новость: этот инструмент пока доступен только крупным компаниям. И совсем скоро такие же инструменты появятся у злоумышленников.
🎯 Почему это важно
Для разработчиков: вам придётся учиться работать в режиме «постоянного поиска уязвимостей». Старые циклы разработки (обновление раз в месяц/квартал) уходят в прошлое.
Для пользователей: в краткосрочной перспективе — более безопасный софт. В долгосрочной — гонка вооружений между защитниками и атакующими, где победит тот, у кого лучше ИИ.
Для индустрии: это сигнал, что эра «ручного» поиска багов заканчивается. Компании, которые не внедрят ИИ в процессы безопасности, останутся позади.
Для open-source: возникает риск неравенства. Крупные проекты (как Firefox) получат защиту. Маленькие — могут стать лёгкой мишенью.
❓ FAQ
В1: Действительно ли ИИ нашёл уязвимости, которые люди не могли найти десятилетиями?
Да, но с оговорками. Mythos нашла уязвимость в OpenBSD возрастом 27 лет и баг в FFmpeg возрастом 16 лет. Однако Mozilla подчёркивает: это не были какие-то принципиально новые классы уязвимостей. Опытный человек-исследователь тоже мог бы их найти — просто никто не искал достаточно тщательно.
В2: Может ли обычный пользователь получить доступ к Mythos?
Нет, и в обозримом будущем — вряд ли. Anthropic ограничила доступ к модели узким кругом крупных технологических компаний в рамках Project Glasswing. Однако ожидайте появления коммерческих сервисов и открытых аналогов в ближайшие 1-3 года.
В3: Означает ли это, что теперь весь софт станет безопасным?
Не сразу. Во-первых, нужно время, чтобы найти и исправить все уязвимости. Во-вторых, исправления сами по себе могут содержать новые баги. В-третьих, злоумышленники тоже получат доступ к подобным ИИ. Это гонка, а не одномоментная победа.
В4: Почему Mozilla рассказала об этом публично? Разве это не помогает хакерам?
Это классическая дилемма безопасности. Mozilla выбрала стратегию «ответственного раскрытия»: они сначала исправили все 271 уязвимость, выпустили Firefox 150, и только потом рассказали о масштабах находок. Теперь хакеры знают, что ИИ может найти много багов, но не знают конкретных деталей (если Mozilla их не опубликовала отдельно).
В5: Стоит ли обновляться до Firefox 150 немедленно?
Да. Эта версия содержит рекордное количество исправлений безопасности. Если вы используете более старую версию, вы потенциально уязвимы для атак через те самые 271 проблему, которые уже исправлены. Обновитесь как можно скорее.
#кибербезопасность #ИИ #Firefox #Anthropic #Mythos #Mozilla #безопасность #технологии #Claude #ProjectGlasswing #разработка #уязвимости
Заключение
Firefox 150 — это не просто очередное обновление браузера. Это маркер новой эры. Эры, где ИИ становится равноправным участником процесса создания безопасного программного обеспечения.
Mozilla показала, что возможно. Теперь вопрос в том, сможет ли индустрия в целом угнаться за этим темпом. Сможет ли маленький разработчик из гаража защитить свой продукт так же эффективно, как гиганты с доступом к закрытым ИИ-моделям.
Ответ на эти вопросы мы получим в ближайшие годы. Но одно ясно уже сейчас: мир кибербезопасности изменился навсегда.
И Firefox 150 — первый вестник этих перемен.