Źródło: Link
118 lekcji bez kodowania. ChatGPT, Claude, Gemini, automatyzacje. Notatnik AI i AI Coach w cenie.
Anthropic">Anthropic i Mozilla postanowiły sprawdzić, czy AI potrafi znaleźć błędy w kodzie, których nie wyłapali ludzie. Przez dwa tygodnie Claude analizował kod Firefoksa. Wynik? 22 podatności bezpieczeństwa. 14 z nich sklasyfikowano jako poważne zagrożenie.
To nie był test na papierze. Mozilla dała Claude'owi dostęp do prawdziwego kodu produkcyjnego przeglądarki używanej przez miliony ludzi. Model znalazł rzeczy, które przeszły przez standardowe procedury testowania.
Mozilla nie ujawniła szczegółów wszystkich znalezionych podatności — to standardowa praktyka, dopóki nie zostaną załatane. Wiemy jednak, że 14 z 22 luk to problemy o wysokim stopniu zagrożenia. Czyli takie, które potencjalnie mogłyby zostać wykorzystane przez atakujących.
Różnica między podatnością niskiego i wysokiego stopnia? Ta pierwsza może pozwolić na drobne nadużycie. Ta druga — na przejęcie kontroli nad przeglądarką, kradzież danych lub wykonanie złośliwego kodu na Twoim komputerze.
Claude nie pracował sam. Współpracował z zespołem bezpieczeństwa Mozilli, który weryfikował znaleziska i pomagał modelowi zrozumieć kontekst kodu. AI nie działa w próżni — potrzebuje ludzkiej weryfikacji.
Model analizował kod pod kątem typowych wzorców błędów: przepełnienia bufora, wycieki pamięci, błędy walidacji danych wejściowych. To problemy, które ludzie też potrafią znaleźć. Wymaga to jednak czasu i uwagi.
Claude przeszedł przez tysiące linii kodu w czasie, który zajęłby zespołowi ekspertów tygodnie pracy. Nie oznacza to, że AI jest lepsze. Oznacza, że może być skutecznym narzędziem wsparcia.
Mozilla nie jest pierwszą firmą, która eksperymentuje z AI w testowaniu kodu. Różnica polega na skali i transparentności — Anthropic i Mozilla publicznie pokazały, że model językowy może znaleźć rzeczywiste problemy w produkcyjnym oprogramowaniu.
Dla firm tworzących oprogramowanie to sygnał: Claude i podobne modele mogą stać się częścią standardowego procesu testowania. Nie jako zamiennik ekspertów — jako dodatkowa warstwa kontroli.
Dla polskich firm IT, które pracują z wrażliwymi danymi lub tworzą oprogramowanie dla klientów z UE, to może oznaczać nowy wymóg. Jeśli AI potrafi znaleźć 22 luki w dwa tygodnie, klienci mogą zacząć pytać: „A wy używacie AI do testowania bezpieczeństwa?”
Claude znalazł 22 podatności. Nie wiemy, ile przegapił. Nie wiemy też, ile fałszywych alarmów wygenerował — czyli ile razy wskazał na „problem”, który problemem nie był.
modele językowe mają tendencję do halucynacji. Wymyślają rzeczy, które brzmią wiarygodnie, ale nie są prawdziwe. W przypadku bezpieczeństwa to oznacza, że każde znalezisko wymaga ludzkiej weryfikacji.
Poza tym Claude miał dostęp do kodu źródłowego. W przypadku oprogramowania zamkniętego (gdzie kod nie jest publicznie dostępny) model musiałby pracować inaczej — analizując zachowanie aplikacji, nie jej kod.
Nie. Oznacza zmianę ich roli.
Zamiast spędzać tygodnie na ręcznym przeglądaniu kodu w poszukiwaniu oczywistych błędów, mogą skupić się na problemach wymagających głębszego zrozumienia kontekstu biznesowego i technicznego. AI znajduje wzorce. Ludzie rozumieją konsekwencje.
Anthropic nie planuje zastąpić ekspertów od bezpieczeństwa. Planuje dać im narzędzie, które przyspieszy rutynowe zadania. To trend widoczny w całej branży AI — modele stają się asystentami specjalistów, nie ich zamiennikami.
Dla osób pracujących w IT to sygnał: umiejętność pracy z AI staje się tak samo ważna jak umiejętność pisania kodu. Nie musisz być ekspertem od uczenia maszynowego. Musisz wiedzieć, jak zadawać modelowi właściwe pytania i jak weryfikować jego odpowiedzi.
Mozilla i Anthropic nie podały, czy współpraca będzie kontynuowana. Prawdopodobnie tak — jeśli Claude znalazł 22 luki w dwa tygodnie, warto sprawdzić, co znajdzie w kolejnych miesiącach.
Dla reszty branży to benchmark. Jeśli Twoja firma tworzy oprogramowanie i nie używa AI do testowania bezpieczeństwa, konkurencja może Cię wyprzedzić. Nie chodzi o to, że AI jest lepsze od ludzi — dlatego, że pozwala ludziom pracować efektywniej.
Dla Ciebie jako użytkownika Firefoksa to dobra wiadomość. Przeglądarka, z której korzystasz, właśnie stała się bezpieczniejsza. 22 luki mniej to 22 potencjalne ataki, które nie zadziałają.
Pytanie brzmi: ile innych firm zdecyduje się na podobny eksperyment? I ile z nich będzie gotowych publicznie pokazać wyniki?
Podoba Ci się ten artykuł?
Co piątek wysyłam podsumowanie najlepszych artykułów tygodnia. Zapisz się!
90 minut praktycznej wiedzy o AI. Pokaze Ci krok po kroku, jak zaczac oszczedzac 10 godzin tygodniowo dzieki sztucznej inteligencji.
Zapisz sie na webinar
DeepSeek wypuszcza podgląd V4 — open-source'owego modelu, który ma konkurować z zamkniętymi systemami OpenAI, Google i Anthropic. Rok po tym, jak zaskoczył Amerykanów.
Bug bounty z nagrodą $25 000. OpenAI szuka ludzi, którzy znajdą sposób na wyciągnięcie z GPT-5.5 niebezpiecznej wiedzy biologicznej. To nie test modelu — to test Ciebie.
<p>Mythos — narzędzie AI do cyberbezpieczeństwa uznane przez Anthropic za zbyt niebezpieczne — trafiło do nieautoryzowanych użytkowników przez własnego podwykonawcę firmy.</p>
