Mozilla、Mythos が発見した 271 件の脆弱性には「誤検知はほとんどない」と発表

上で述べたように、Mozilla が AI 支援による脆弱性発見をゲームチェンジャーとして特徴付けていることは、多くの方面から大規模かつ声高な懐疑論にさらされています。批評家たちは当初、Mozilla が 271 件の脆弱性のいずれに対しても CVE 指定を取得していないことを嘲笑しました。ただし、多くの開発者と同様に、Mozilla は内部で発見されたセキュリティ バグの CVE リストを取得しません。代わりに、それらは 1 つのパッチにグループ化されます。通常、これらの「ロールアップ」の詳細を説明する Bugzilla レポートは、パッチ適用が遅いユーザーを保護するために、パッチ適用後数か月間非表示になります。 Mozilla がそれらのうちの 12 個を公開した今、同じ批評家は間違いなく、それらも厳選されたものであり、精度の低い結果を隠していると主張するでしょう。

Mythos を使用して発見された 271 件のバグのうち、180 件は 2 位であり、Mozilla が内部報告した脆弱性としては最高位に指定されています。この種の脆弱性は、Web ページへの移動などの通常のユーザーの動作を通じて悪用される可能性があります。 (単一の最も高い評価である sec-critical は、ゼロ日間に予約されています。) 他の 80 秒は中程度の秒、11 は低秒でした。

批評家たちが反発し続けるのは正しいことだ。誇大宣伝は、すでに高騰している AI 企業の評価額​​をさらにつり上げる重要な手法です。 Mozilla が Mythos を高く評価していることを考えると、さらに自信のある人であれば、「見返りに何が得られるの?」と疑問に思うのは簡単です。議論が決着するどころか、木曜日の詳細な説明は論争をさらに煽るだけになる可能性が高い。

しかし、グリンステッド氏の話を聞くと、その詳細は AI 支援による発見の有用性を示す明らかな証拠であり、Mozilla の動機は単純です。

「昨年のこのようなずさんなコミットで人々は少し疲れきっています。そこで、アクションを促したり、会話を継続したりする方法として、私たちの成果の一部を公開し、バグの一部を公開し、それについてもう少し詳しく話すことが重要だと考えました」と彼は言いました。 「ここにはマーケティングの観点はありません。私たちのチームはこのアプローチを徹底的に精査しました。私たちは、特定のベンダー モデルや企業などについてではなく、この手法全般についてメッセージを伝えようとしているのです。」