יש משפט אחד שהבן שלי זוכר מלימודי מחשבים שמסביר הכל. המרצה שלו אמר: "הבאגים הכי מסוכנים הם לא אלה שאתם מוצאים." אחרי ההרצאה ההיא הוא הבין שאבטחת מידע זה מירוץ. השאלה תמיד היתה מי מוצא את הבאגים קודם, האנשים הנכונים או הלא נכונים.
השבוע מוזילה, החברה שמפתחת את פיירפוקס, ענתה על השאלה הזו בצורה שאף אחד לא ציפה לה.
מה שקרה באפריל
בואו נדבר במספרים קודם, כי המספרים כאן הם הסיפור.
באפריל 2025, פיירפוקס שיגרה 31 תיקוני אבטחה. לא מעט, לא מעט מדי, מספר סביר לדפדפן גדול עם מיליוני שורות קוד.
באפריל 2026, אותה פיירפוקס שיגרה 423 תיקוני אבטחה.
תעצרו שנייה. 31 ל-423. זו עלייה של 1,265% תוך שנה אחת. אם מישהו היה מראה לי את המספר הזה בלי הסבר, הייתי חושב שמשהו נשבר בתהליך. אבל לא. מה שקרה הוא הפוך: משהו התחיל לעבוד טוב בצורה שלא היתה אפשרית לפני שנה.
מיתוס נכנסת לתמונה
באפריל 2026 אנתרופיק הציגה מודל חדש בשם Mythos. לא מודל שמשוחח, לא כלי ליצירת תמונות. מודל שמיועד לדבר אחד מאוד ספציפי: למצוא חורי אבטחה בקוד.
מוזילה, שתמיד היתה מהחברות הפתוחות ביותר לגבי תהליכי הפיתוח שלה, הכריזה שהם משתמשים במיתוס כחלק מתהליך הסקירה שלהם. הצוות של בריאן גרינסטד, מהנדס בכיר שעובד עם פיירפוקס כבר שנים, הסביר מה השתנה.
"הדברים האלה פשוט פתאום טובים מאוד," אמר גרינסטד. "אנחנו רואים את זה בסריקות הפנימיות שלנו, רואים את זה בדוחות באגים חיצוניים, ורואים את זה בכל מיני אותות ברחבי התעשייה."
הוא הסביר גם את הנוסחה שמאחורי הקפיצה: "ראשית, המודלים הפכו הרבה יותר מסוגלים. שנית, שיפרנו דרמטית את הטכניקות לשימוש בהם."
הבאג בן 15 השנה
מוזילה פרסמה פרטים על 12 באגים ספציפיים שמיתוס עזרה לאתר. כמה מהם משעשעים במובן הכי עצוב שיש: פגיעויות שישבו בקוד יותר מעשור.
אחד המקרים הבולטים הוא שגיאה בדרך שהדפדפן מנתח רכיב HTML מסוים. שגיאה שהיתה שם 15 שנה. חמש עשרה שנים של גרסאות, עדכונים, מיליארדי משתמשים, ואף אחד לא מצא אותה. מיתוס מצאה.
נמצאו גם שתי פגיעויות חריגות בסביבת ה-sandbox של הדפדפן, שמבודדת תהליכים רגישים. הסוג של פגיעות שאם תגיע לידיים הלא נכונות, יכולה לאפשר למישהו לצאת מהסביבה המוגבלת ולהגיע לשאר המערכת.
AI מוצא, אדם מתקן
כאן מגיע הפרט החשוב להבין, כי הרבה אנשים ילכו לכיוון הלא נכון עם הסיפור הזה.
מיתוס מוצאת את הבאגים. אבל הבאגים לא מתוקנים אוטומטית.
גרינסטד הסביר בבהירות: "לכל אחד מהבאגים שאנחנו מדברים עליהם בפוסט, זה מהנדס אחד שכותב תיקון ומהנדס אחד שסוקר אותו. לא מצאנו שניתן להפוך את זה לאוטומטי."
AI מציע תיקונים. הקוד שיוצא ממנו בדרך כלל לא מוכן לפריסה ישירה. הוא משמש כנקודת פתיחה, כהכוונה למהנדס האנושי. הם מסתכלים, מבינים, כותבים את התיקון הנכון, עוברים ביקורת.
זה מודל שעובד. 423 תיקונים בחודש אחד מוכיחים את זה.
מה זה אומר לשאר העולם?
הפרדוקס שגרינסטד הצביע עליו מעניין: "הכלי הזה, כשהוא זמין, מטה את היתרון קצת לכיוון המגינים לעומת התוקפים."
זה משפט שצריך לקרוא פעמיים שלושה. כלי שיכול לעזור לתוקפים מטה בסופו של דבר את הכף לטובת המגנים, כי המגנים הם אלה שיכולים להפעיל אותו בצורה מסיבית ושיטתית על הקוד שלהם.
כן, AI יכול לעזור לתוקפים למצוא פגיעויות. אבל AI גם יכולה לעזור לחברות לתקן את הפגיעויות לפני שמישהו ישתמש בהן.
מוזילה כתבה בגילוי שלה: "קשה להגזים בכמה הדינמיקה הזו השתנתה עבורנו בתוך כמה חודשים קצרים."
כמה חודשים. לא שנים. כמה חודשים שבהם AI של אבטחה הפכה מכלי מוקדם ומוגבל לכלי שמייצר 13 פעמים יותר תיקונים בחודש.
מה קורה עכשיו?
זה לא ייחודי למוזילה. גרינסטד ציין שהשינוי הזה נראה "בכל מיני אותות ברחבי התעשייה." מה שמוזילה עשתה עם פיירפוקס, חברות אחרות עושות עם הקוד שלהן.
זה אומר שב-2026, הדרך שבה אנחנו מוצאים ומתקנים בעיות אבטחה בתוכנה משתנה באופן יסודי. המודלים כבר טובים מספיק. הטכניקות להפעלתם כבר מספיק מגובשות. מה שנדרש עכשיו הוא שאנשים יחליטו להשתמש בהם.
הבאג בן 15 השנה לא חיכה לאדם שיחליט לחפש אותו. הוא חיכה למודל שמספיק טוב כדי לדעת איפה לחפש.
