Mozilla-வின் Firefox குறிப்பு ஏற்கனவே பதற்றமான AI பாதுகாப்பு விவாதத்தை மேலும் கூர்மையாக்கியுள்ளது
Anthropic-இன் Mythos Preview மாதிரி Firefox 150 வெளியீட்டுக்கு முன்பே 271 பாதுகாப்பு குறைபாடுகளை அடையாளம் காண உதவியதாக Mozilla கூறுகிறது; இந்த முடிவு, முன்னேறிய AI சைபர் பாதுகாப்பை எவ்வாறு பாதிக்கும் என்ற ஓட்டத்தில் உடனடியாக பங்குகளை உயர்த்துகிறது.
Ars Technica வெளியிட்ட இந்த செய்தி, இதுவரை ஊகங்களும், பெஞ்ச்மார்க் கோரிக்கைகளும், AI நிறுவனங்களின் எச்சரிக்கைகளும் தான் ஆதிக்கம் செலுத்திய விவாதத்திற்கு அபூர்வமான அளவில் உறுதியான ஆதாரத்தைச் சேர்க்கிறது. ஏப்ரல் மாத தொடக்கத்தில் Anthropic, Mythos குறைபாடுகளை கண்டறிவதில் மிகச் சிறப்பாக இருந்ததால், அதன் ஆரம்ப வெளியீட்டை சில முக்கிய தொழில்துறை பங்குதாரர்களுக்கு மட்டுமே கட்டுப்படுத்தியதாக கூறியது. Mozilla-வின் இந்த அனுபவம், அந்த திறன் நடைமுறையில் எப்படி இருக்கும் என்பதற்கான மிகத் தெளிவான நிஜ உலகக் குறிகாட்டிகளில் ஒன்றாக உள்ளது.
Firefox CTO பாபி ஹோலீ இதன் விளைவுகளை பெரிய வார்த்தைகளில் விவரித்து, பாதுகாப்பு குழுக்கள் இறுதியாக முன்னிலை பெறக்கூடும் என்று வாதிட்டார். 271 குறைபாடுகளின் தீவிரம் குறித்த விரிவான தகவல்கள் இல்லாவிட்டாலும், இந்த எண்ணிக்கை அலட்சியப்படுத்த முடியாத அளவு பெரிதாக உள்ளது.
சில டஜன் பிழைகளிலிருந்து ஒரே வெளியீட்டு சுழலில் நூற்றுக்கணக்கானவற்றிற்கு
மூல அறிக்கையில் மிகவும் கவனத்தை ஈர்க்கும் ஒப்பீடு AI-க்கும் மனிதர்களுக்கும் இடையே அல்ல; ஒரு AI மாதிரி தலைமுறையையும் அடுத்த தலைமுறையையும் இடையே. கடந்த மாதம் Firefox 148-ஐ ஆய்வு செய்த Anthropic-இன் Opus 4.6 மாதிரி 22 பாதுகாப்பு-சென்சிட்டிவ் பிழைகளை கண்டதாக ஹோலீ கூறினார். Mythos Preview, Firefox 150-ஐ ஆய்வு செய்தபோது, 271 பாதுகாப்பு குறைபாடுகளை கண்டுபிடித்ததாக கூறப்படுகிறது.
இந்த எண்ணிக்கைகள் நேரடியாக ஒப்பிடத்தக்கவையாக இருந்தால், உயர்வு அதிரடியானது. குறைபாடு பகுப்பாய்வில் மாதிரி முன்னேற்றம் நேர்கோட்டாக இருக்காமல் இருக்கலாம் என்பதைக் காட்டுகிறது. குறியீடு அல்லது தேடல் நிபந்தனைகளில் உள்ள வேறுபாடுகளை ஒதுக்கினாலும், இத்தகைய குறுகிய காலத்தில் சில டஜனிலிருந்து நூற்றுக்கணக்கான கண்டறிதல்களுக்கு செல்லுவது திறன் மாற்றத்தைச் சுட்டுகிறது.
மாதிரி இவ்வாறான பிரச்சினைகளை வெளியிடப்படாத மூலக் குறியீட்டை பகுப்பாய்வு செய்வதன் மூலமே கண்டறிந்ததாக அந்த அறிக்கை கூறுகிறது. இது முக்கியமானது, ஏனெனில் மாதிரியை அதிக அளவில் இயக்கும் தானியங்கி fuzzing இயந்திரமாக அல்ல, மாறாக codebases-ஐ ஆய்வு செய்து சாத்தியமான குறைபாடுகளை குறிக்கக்கூடிய ஒரு reasoning system ஆக இது காட்டப்படுகிறது.
இந்த வேலைக்கான தன்மை, தானியங்கி fuzzing மூலமாகவோ அல்லது மிகச் சிறந்த மனித ஆராய்ச்சியாளர்கள் சிக்கலான browser code-ஐ reasoning செய்வதன்மூலமாகவோ செய்யப்படக்கூடிய ஒன்றாக ஹோலீ ஒப்பிட்டார். நடைமுறை வேறுபாடு செலவும் வேகமும் தான் என்று அவர் வாதிட்டார். ஒரு AI மாதிரி பல மாதங்கள் தீவிர நிபுணர் முயற்சி இல்லாமல் பாதுகாப்பு பிழைகளை கண்டுபிடிக்க முடிந்தால், பாதுகாப்பு மதிப்பாய்வு குறைந்த செலவானதும் அதிக அளவில் விரிவுபடுத்தக்கூடியதுமானதாக மாறும்.
Browser பாதுகாப்பு ஏன் அர்த்தமுள்ள சோதனை வழக்காக உள்ளது
Browser-கள் உலகின் மிகவும் சிக்கலானதும், மிக அதிகமாக தாக்கப்படுவதுமான நுகர்வோர் software தயாரிப்புகளில் ஒன்றாகும். அவை நம்பகமற்ற input-ஐ தொடர்ந்து செயலாக்குகின்றன, பெரிய codebase-களை கொண்டுள்ளன, மேலும் memory, rendering, scripting, networking, மற்றும் sandboxing ஆகியவற்றை மிக கவனமாக கையாள வேண்டும்.
அதனால் Firefox, AI சார்ந்த குறைபாடு கண்டறிதல் குறித்த கோரிக்கைகளுக்கான ஒரு வலுவான சோதனை சூழல். நவீன browser-இல் அர்த்தமுள்ள பிழைகளை கண்டுபிடிக்கக்கூடிய ஒரு மாதிரி, பொம்மை benchmark-ஐ வெல்வதைவிட அதிக முக்கியத்துவமுடைய ஒன்றைச் செய்கிறது. அது மில்லியன் கணக்கான பயனர்களை பாதிக்கக்கூடிய உண்மையான குறைபாடுகள் உள்ள துறையில் செயல்படுகிறது, அங்கு நிபுணர் பாதுகாப்பு மதிப்பாய்வு ஏற்கனவே மிக உயர்ந்த நிலை கொண்டது.
மூல அறிக்கை 271 குறைபாடுகளின் தீவிரப் பகிர்வை குறிப்பிடவில்லை. அந்த விடுபட்ட விவரம் முக்கியமானது. நூற்றுக்கணக்கான குறைந்த-தீவிர பிரச்சினைகள், நூற்றுக்கணக்கான உயர்-பாதிப்பு குறைபாடுகள் போன்ற மூலோபாய முக்கியத்துவத்தைப் பெறாது. இருந்தாலும், பொது வெளியீட்டுக்கு முன்பே மிகப் பெரிய எண்ணிக்கையிலான பாதுகாப்பு-சென்சிட்டிவ் பிழைகளை முன்கூட்டியே கண்டறியும் திறன், software defense workflows-இல் பெரிய மாற்றத்தை குறிக்கும்.
பாதுகாப்பாளர்கள் versus தாக்குதலாளர்கள் என்ற கேள்விக்கு பதில் கூறுவது கடினமாகிறது
பல மாதங்களாக முன்னேறிய AI குறித்த cyber security உரையாடல், அச்சமும் சந்தேகமும் இடையே அலைந்துகொண்டிருக்கிறது. ஒரு பக்கம் சக்திவாய்ந்த மாதிரிகள், தாக்குதலை எளிதாக்கி, மேலும் அளவுபடுத்தக்கூடியதாக மாற்றிவிடும் என கவலைப்படுகிறது. மற்றொரு பக்கம், AI பெரும்பாலும் பாதுகாப்பாளர்கள் ஏற்கனவே செய்யும் பணிகளை வேகப்படுத்துகிறது, மேலும் அதைப் பற்றிய hype நடைமுறை முடிவுகளை விட அதிகமாகிறது என்று வாதிடுகிறது.
Mozilla Mythos-ஐப் பயன்படுத்தியதாகக் கூறப்படும் இந்த நிகழ்வு அந்த விவாதத்தை முடிக்காது, ஆனால் அதை முன்னோக்கி நகர்த்துகிறது. மூல அறிக்கையில் ஹோலீயின் பார்வை, மலிவான குறைபாடு கண்டறிதல் பாதுகாப்பாளர்களுக்கே உதவும், ஏனெனில் software vendors, தாக்குதலாளர்கள் பயன்படுத்துவதற்கு முன் பிரச்சினைகளை கண்டுபிடித்து சரிசெய்ய முடியும் என்பதாகும்.
இது நியாயமான வாதமே, குறிப்பாக frontier models-ஐ அணுகக்கூடியதும், அவற்றை பாதுகாப்பான development pipelines-இல் சேர்க்கும் engineering திறன் கொண்டதும் ஆகிய அமைப்புகளுக்கு. ஆனால் அதே அடிப்படை திறன், அதற்குச் சமமான system-கள் பரவலாகக் கிடைத்தால் அல்லது offensive toolchains-க்கு கசிந்தால், தாக்குதலாளர்களுக்கும் பயனளிக்கலாம்.
மற்ற வார்த்தைகளில், AI குறைபாடுகளை கண்டுபிடிக்க முடியுமா என்பதைக் காட்டிலும், அந்த திறனை யார் வேகமாகவும் பொறுப்புடன் செயல்படுத்துகிறார்கள் என்பதே முன்னிலை யாரிடம் என்பதை தீர்மானிக்கலாம்.
Software development-இல் என்ன மாறுகிறது
Mozilla-வின் முடிவு உறுதியாக இருந்தால், AI உதவிய code review ஒரு nice-to-have ஆக இருந்து, பெரிய software projects-க்கு அடிப்படை தேவையாக மாறக்கூடும். மூல அறிக்கையின் படி, ஹோலீ Wired-க்கு, ஒவ்வொரு software-மும் இந்த வகை AI-aided analysis-ஐ எதிர்கொள்ள வேண்டியிருக்கும், ஏனெனில் எல்லா software-மும் அதே திறனை வெளியிலிருந்து எதிர்கொள்ளும் என்று கூறினார்.
இதனால் ஒரு புதிய குறைந்தபட்ச தரநிலை உருவாகிறது. வலுவான AI tools-ஐ code inspection-க்கு பயன்படுத்தாத projects, தாக்குதலாளர்கள் அல்லது போட்டியாளர்களிடையே பின்னடைவில் இருக்கலாம். பாதுகாப்பு மதிப்பாய்வு, பாரம்பரிய testing, fuzzing, மற்றும் மனித ஆராய்ச்சியின் மேல் கட்டப்பட்ட AI triage ஆக மாறத் தொடங்கலாம்.
இது security teams உள்ளே வேலைப் பங்கீட்டையும் மாற்றக்கூடும். மிகவும் திறமையான ஆராய்ச்சியாளர்கள் குறைந்த விளைவான code paths-இல் கைமுறையாக நேரம் செலவிடுவதற்குப் பதிலாக, model-generated findings-ஐ validate செய்யவும், முன்னுரிமை அளிக்கவும், exploit செய்ய அல்லது சரிசெய்யவும் அதிக நேரம் செலவிடலாம். அந்த சூழலில், AI elite security work-ஐ மாற்றாது; அதன் பொருளாதாரத்தையே மாற்றும்.
இல்லாத விவரங்களும் இன்னும் முக்கியம்
தலைப்புச் செய்தி எண்ணிக்கை impressive-ஆக இருந்தாலும், தீராத கேள்விகள் பெரியவை. மூல அறிக்கை, எத்தனை குறைபாடுகள் தீவிரமானவை, எத்தனை ஏற்கனவே உள்ள உள்துறை tools-ஆல் கண்டுபிடிக்கப்பட்டிருக்கலாம், அல்லது false-positive வீதம் என்னவென்று வெளியிடவில்லை. செயல்திறன் பரவலாக மறுபடியும் செய்ய கடினமான தனிப்பட்ட வழிகாட்டல், tools, அல்லது prompting-ஐ சார்ந்ததா என்பதும் தெளிவில்லை.
இந்த எச்சரிக்கைகள் முடிவின் முக்கியத்துவத்தை குறைப்பதில்லை. அவை இதுவரை என்ன தெரியவில்லை என்பதை மட்டும் வரையறுக்கின்றன. பாதுகாப்பு கோரிக்கைகள், வெளிப்புற ஆராய்ச்சியாளர்கள் அவற்றை காலப்போக்கில் பல codebase-களிலும் செயல்பாட்டு சூழல்களிலும் உறுதிப்படுத்த முடிந்தால் தான் மிகவும் வலுவாக இருக்கும்.
AI-யின் cyber defense-இல் ஒரு எல்லைத் தருணம்
இந்த உறுதிப்படுத்தப்படாத விவரங்களுடனும், Mozilla-வின் விளக்கம் ஒரு எல்லைத் தருணமாக உணரப்படுகிறது. இதுவரை frontier AI மற்றும் cyber capability குறித்த கோரிக்கைகள் பெரும்பாலும் கற்பனைப்போல் அல்லது சுயநலமாகத் தோன்றின. ஒரு browser நிறுவனம், ஒரு பெரிய வெளியீட்டில் 271 குறைபாடுகளை கண்டறிய ஒரு மாதிரி உதவியதாகச் சொல்வது, விவாதத்திற்கு மேலும் உறுதியான வடிவம் அளிக்கிறது.
இந்த எண்ணிக்கை உண்மையானதும் அர்த்தமுள்ளதும் ஆன பாதுகாப்பு குறைபாடுகளை பிரதிபலித்தால், முன்னேறிய AI இப்போது software assurance-ன் பொருளாதாரத்தை மாற்றத் தொடங்கியுள்ளது. இதனால் பாதுகாப்பாளர்கள் தெளிவாக வென்றுவிட்டார்கள் என்று அர்த்தம் அல்ல, ஹோலீ கூறுவது போல. ஆனால் இயந்திர வேகத்தில் code-ஐ reasoning செய்யும் திறன் எதிர்கால சாத்தியம் அல்ல, நடைமுறை பாதுகாப்பு காரணியாக மாறும் புதிய கட்டத்தில் போட்டி நுழைந்துள்ளது என்பதைக் காட்டுகிறது.
அடுத்த கேள்வி, AI vulnerability research-இல் முக்கியமா என்பதல்ல. software industry அதற்கேற்ப எவ்வளவு விரைவாக தழுவுகிறது என்பதே.
இந்தக் கட்டுரை Ars Technica-வின் அறிக்கையினை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.
Originally published on arstechnica.com
