News Cybersicherheit: Claude Mythos behebt 271 Schwachstellen in Firefox

[M-X]

Anständige Summe von Zusatzleistung für Claude als Entschädigung. Dadurch merkte der Dev, was ich alles so runterballer mit Claude und lokalen LLMs und so kam man sich näher ^^

Also angeblich gibt es einer handvoll großer Unternehmen und OSS Projekten und auch da nur bei Security Spezialisten die zugriff auf Mythos haben. Jetzt kommst du als "Power User" und sollst das auch haben ? Entweder du arbeitest bei einer der Firmen im Programm, Antropic hält sich selber nicht an ihrer eigenen Regeln oder du flunkerst ein wenig.

 

[Land_Kind]

Super, können wir dann die ganzen Geheimdienstschlappen der nsa usw. in die Arbeitslosigkeit schicken.

In der gegenwärtigen weltpolitischen Gemengenlage wird wohl genau das Gegenteil passieren...

 

[Mondgesang]

warum sind meine Erlebnisse mit AI ehr bescheidener Natur, vom eingebildeten ChatGPT, der Buzzword Bingo spielt, bis zu Google

Weil das alles weder A noch I ist und in der Tat ein Buzzword Bingo. Aber kluge Marketing Köpfe haben es geschafft die ganze Welt damit wuschig zu machen und sind deshalb jetzt reich, während wir ganze Landstriche für Buzzwordbingo-Farmen plattwalzen.

 

[Pitt_G.]

@Krik Google ist teils ja noch ganz witzig weil man schnell merkt wie vertrottelt das Ding ist es aber nicht negativ regagiert wenn die Faktenlage korrigiert wird, aber Chatgpt empfiehlt quasi hochüberzeugt Mist aufgrund eines Debug Auszugs und reagiert dann pampig

Da kann ich dann genauso die Anleitung unserers Waschmaschinenreinigers wortwörtlich befolgen die leider in Kombination mit unserer Maschine Mist ist, weil die gleich wieder alles rauspumpt bevors losgeht...

 

[Googlie]

Diese Meldung scheint nicht verifiziert worden zu sein. I call BS!

Die Release Notes von Fx150 selbst listen nur 41 vulnerabilities:
https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/
Davon 3 mit Hinweis "using Claude from Anthropic". "Using" wird nicht weiter erklärt.

Der Blog post dagegen sagt "This week’s release of Firefox 150 includes fixes for 271 vulnerabilities identified during this initial evaluation."
Wichtig: Nicht "identified by Claude", sondern "during" was also eine rein zeitliche Korrelation sein kann.

Die Zahl von 271 kann also ganz einfach auch irgendwelche Problemchen mitzählen, die während der Entwicklung selbst (aber vor dem Veröffentlichen) gefunden wurden. Das können ziemlich viele verschiedene Tools auch erledigen, für Bruchteile des Claude-Stromverbrauchs.

Zum Abschluss noch der Hinweis auf Mozilla's Fußnote unter dem Blogpost:

There’s a risk that codebases begin to surpass human comprehension as a result of more AI in the development process …

Tolle Wurst! Slop generieren, der dann vom Slopper-in-chief angekreidet werden kann.

Ein schönes

 

[Rulf]

Was unterscheidet den Browser Firefox von sonstiger Alltagssoftware?

im gegensatz zu einer gewöhnlichen alltags-sw hat ein browser unzählige funktionen und versteht etliche protokolle die alle nicht nur zusammenarbeiten müssen sondern dieses auch möglichst fehlerfrei und in manchen fällen sogar fehler anderer sw(zb der bs) ausbügeln müssen...
eine multimedia-netzwerk-wundertüte sozusagen...

 

[Der Puritaner]

Du kannst dir sicher sein das Microsoft und Google das Tool auf ihre Codebase loslassen.

Schön wäre es bloß, wenn das dann auch so publik gemacht werden würde, als nur immer auf die kleinen loszugehen.

 

[Drakrochma]

Und als Alternative nehmen wir dann was für Websites welche nicht einfach nur statischen content haben?

Flash wäre doch toll.

duckundweg

 

[aid0nex]

Finde es einfach nur Wahnsinn, wie viele Lücken gefunden wurden. Gar nicht auszumahlen, wie viele Lücken in sonstiger "Alltags" Software existieren..

Theoretisch unendlich viele. 100% sichere Software hat exakt 0 Zeilen Code. Ergo: Es gibt sie nicht.
Fragt sich immer nur, mit wie viel Aufwand und in welchem mehr oder weniger realistischen Szenario man Exploits nutzen kann.

 

[lynx007]

warum sind meine Erlebnisse mit AI ehr bescheidener Natur, vom eingebildeten ChatGPT, der Buzzword Bingo spielt, bis zu Google

Weil es claude ist`? und vermutlich du keiner 45 millioen codzeilen prüfen lässt? und vielciht bist du auch noch gut im coden. ich bin mir sicher, wen cih 100 zeilen schreiben würde, würde claude mindestens 100 fehler finden... vielicht nicht alle sicherheitskritisch... aber mindestens einen fehler pro zeile...

Ergänzung (Gestern um 20:01)

@Pitt_G.
Das klingt nach einem Bedienfehler.

Wirkt eher so als hättest du nicht viel Erfahrun mit AIs... das promting ist von AI; AGent und davon abhängig wie gut diene angaben stochastisch auf deine gewünsche ausgabe treffen.....

Und selbst wen ma alles richtig konfiguriert... , was nicht bei jeder geht... verusch BING_AI zu konfigurieren... haben die seit paar Monaten toal ausgehebelt... die AI vergisst das wieder, ODER sie ist perfekt und loopt irgenwann in dienen comandsyntax, das sie nicht mehr rauskommt und keine vernünftige Antworten merh herauskommen und wo nur noch Resetbleibt! UNd das will man erstrecht nicht!

zb habe ich mien Geminei in einem Gespräch zu meinen Keto Dokotor gemacht..... läuft super.... etwas zu proaktiv trainer manchmal... Aber mittels pro und deepthink bekomme ich es hin meine kalos und trainingsvolumen zu "überwachen". alles was ich auch selber kann, aber boring und repatativ ist.... und zu gelich mit einem blick auffällt wen der absoluten Dünnschiss vabriziert... für unsere Nuklearsilos ist "Skynet" noch nicht bereit.

Aber der vergisst das nicht wen ich nen neuen Chat starte und nahc nem PS line frage... und kein bullshit kommt, kommt dann sowas "und dieser codezeile ist so super das wird dird deine keto diat super spielend ablsufne".... selbst wen das thema null mit der keto diät zu tun hat... ist halt einfach ne dumme Eigeheit...... die dazugehören...
und da kann ich oft noch versuche bitte lasse das aus der diskusion raus.... weil das so tief einpromteted iust.... da hälfe nur noch nen "reset" .... aber as will man nicht!!!! Weil das würde meinen Ketobot zerstören... er würde sterben.... wieder auf Kindergarten nivau schrumpfen lassen... man will nciht mit nem resetetn, wen man es einmal geschaft hat das der bot über die hälfte der aufgaben hinbekommt.... weil man weiß, nach nem reset hat man wieder 4 wochen, unzähle WEs, wo dann 30-95% bullshti rauskommt...

ALso nein.... ich denke überhaupt nicht as es nen anwendungsfehler ist. Eherr das er sich wie ich damit abgefunden hat, wen sich der Bot zwichen totalen Bullshit und etwas bullshit eingependelt hat.... und alle anderen alternativen ein viel schlimmeres ergebniss sind Bin mir sicher. irgendwann geht dieser unsinnn auch vorbei und dann werden wir diese gestörten Bot ergüsse vermissen.... wobei nein... ich werde sie nie vermissen.... aber ich merke auch... ich versuche nciht mehr zwanghaft bei jeden bullshit ihnzuu verbessern, neu auszurichen.... bei Viel müll registriere ich abfalll.... wen er mir zu sehr auf den sack geht, wechsel ich die ai... habe 10 im firf

 

[Pitt_G.]

@lynx007 andere ai getriebene Gerätschaften im Cybersecurity Bereich werfen teils soviel Fälle False Positives aus, dass man nur hoffen kann dass die Lernkurve besser wird, ob das dann wirklich alles Code Fehler im Firefox sind, vermag ich nicht zu beurteilen...

Leider gab man den Eindruck die Eegebnisse der herkömmlichen Websuche werden schlechter und mit Quellen wenns denn welche gibt ists oft auch weit her, von kompletten Fehlbewertungen mancher Quellen ganz zu schweigen. Sind teils trotz aktuellem rfeerenziertem Datum Jahre zurückliegend...

Wer dann so selbstbewusst wie chatgpt auftritt dem glaubt man am Ende den Mist noch ehr...wie bei allen Blendern halt.

 

[flaphoschi]

Und als Alternative nehmen wir dann was für Websites welche nicht einfach nur statischen content haben?

Das Internet hat sehr gut ohne funktioniert.

Und das tut es immer noch. Stackoverflow, Amazon, Heise, Wikipedia und Konsorten funktionieren alle einwandfrei ohne JavaScript.

Notwendig wurde JavaScript nur, weil Google das für die Googledienste so wollte. Die ganzen Webapps (ich programmiere selbst welche) wären ohne JavaScript genau so machbar. Und so würde die Shopwebsite dann auch fertig laden, weil der Server sein HTML gefälligst selbst fertig auszuliefern hat. Das Gelaber mit Web 2.0 war auch nur ein Nebelkerze. Also ob…die letzten guten Blogs sind alle statisches HTML

PS: Immerhin, die Idee Bitcoin mit der JS-Engine der Websitenbesucher zu berechnen war innovativ. Also den Stromverbrauch und die Kosten auf Fremde auszulagern.

 

[lynx007]

@Pitt_G. naja... selbst wen.... selbst wen nur einer von 100 richtig ist... die frage ist, rechtfertig der eine echte fehler den Zeitaufwand. Und Sicherheit geht nie ohne False flag....

Aber klar.... wen die so coden und deboogen wie sie Chaten, dann ist da auch sehr sehr viel Müll dabei. AI Slop... wir haben schon einen Begriff... den Slop....

Das wird uns jetzt jahrzehnte begleiten... ich merke lansam das ich mich daran anpass das gefühlt jede dritte wort abfall ist... Und ich glaube das werden andere auch tun. Ob das gut und sinnvoll ist, ist natürlich eine andere Frage.... aber dieses Sloprauschen werden wir nicht mehr los....
Das schöne wird vermutlich irgendwann das meta promting sein... man schreibt was, und frägt simultan, wie früher die suchmaschienen, alle ab... und filtet dann einfach nach der passensten AI....

 

[Mimir]

Danke Mozilla für eine Einordung.
Finde ich absolut spannend. Gute Sache.
Aber auch die Einschätzung, dass es bisher vor allem Geschwindigkeit ist und nicht neue magische Fähigkeiten erdet das ganze wieder etwas.

Inwiefern Erden? Was hast du erwartet? Das Kernproblem IST doch gerade der AUFWAND, um solche Lücken zu finden. Das kostet doch alles unfassbar viel Zeit und Personal. Da sich der Code ständig ändert ist das ein nie endender Aufwand dem niemand gewachsen ist.

Die Tatsache dass die KI im aktuellen Firefox Build so viele neue Lücken gefunden hat zeigt dann auch, dass die KI in der Lage ist auf dem erwarteten Niveau, zu agieren und unzähliger Fehler findet. Also Fehler die bisher ja eben nicht gefunden werden konnten, weil keiner so ausandernd, schnell und umfangreich den Code prüfen kann. Somit können die gefundenen Lücken auch nicht die einfachsten bzw. offensichtlichsten sein..

Natürlich ist die KI noch keine Superintelligenz die derart komplexe zusammenhänge findet, so dass ein Mensch die Lücke nie gefunden hätte. Aber das ist ja auch nicht der Anspruch und sicherlich nicht der Punkt ab dem KI hilfreich ist.

Ich kann schließlich auch zu Fuß zur Arbeit gehen. Mein Auto kann absolut nichts, was ich nicht auch selbst könnte. Und trotzdem setze ich mich lieber ins Auto, um zur Arbeit zu kommen, obwohl ich nur "etwas" Zeit spare. Aber genau darum geht es doch auch. Was erwartet man sonst?

KI spart Zeit und Geld. Das soll jegliche Technologie und jeglicher Fortschritt. Genau darauf arbeiten wir hin und jeder Fortschritt in dem Bereich ist von enorm hohen Wert. Es ist doch bereits toll, wenn überhaupt sowas klappt und die KI auf menschlichem Niveau Lücken findet. Selbst an solchen Dingen hat man vor wenigen Jahren bei KI noch gezweifelt. Jetzt ist auch das nicht mehr gut genug? Wie gut muss KI aus Sicht mancher Skeptiker werden, damit sie überhaupt mal als nützlich anerkannt wird? Irgendwie absurd.

Das Statement von Mozilla schmälert in absolut keinster Weise den riesigen Erfolg der hier erzielt wurde.

Das wäre in etwa so als würde die NASA morgen verkünden, dass sie Leben auf dem Mars gefunden haben und die Leute davon ausgehen, dass uns übermorgen grüne Männchen besuchen kommen und uns alle über den haufen ballern. Die NASA würde dann aber sagen dass es nur Microben sind und plötzlich würde jeder so tun, als wäre das völlig uninteressant...
Genau so läufts irgendwie gerade mit KI. Jeder erwartet die Superintelligenz, den Über Mind Flayer der uns alle vernichtet, aber die ganzen Erfolge die bereits erzielt wurden und erzielt werden, werden ausgeblendet, relativiert oder schlecht geredet, obwohl es Monat für monat, Woche für Woche durchbrüche in unterschiedlichsten bereichen und disziplinen zu verzeichnen gibt.

 

[Decorus]

Also angeblich gibt es einer handvoll großer Unternehmen und OSS Projekten und auch da nur bei Security Spezialisten die zugriff auf Mythos haben. Jetzt kommst du als "Power User" und sollst das auch haben ? Entweder du arbeitest bei einer der Firmen im Programm, Antropic hält sich selber nicht an ihrer eigenen Regeln oder du flunkerst ein wenig.

Oder er ist in der Discordgruppe:

https://www.bloomberg.com/news/arti...model-is-being-accessed-by-unauthorized-users

 

[the_IT_Guy]

Das Statement von Mozilla schmälert in absolut keinster Weise den riesigen Erfolg der hier erzielt wurde.

Das habe ich auch nicht behauptet. Erden bedeutet, dass es die vorher angekündigten aufgeblasenen Behauptungen der Realität einordnet.

Jeder erwartet die Superintelligenz, den Über Mind Flayer

Weil OpenAi & Co sich in Superlativen in ihren Pressemitteilungen gegenseitig überbieten.

NVIDIAs CEO behauptet sogar wir haben schon AGI.

Ich behaupte überhaupt nicht, dass LLMs in aktuellen Stand keine Anwendungsfälle haben. Und Leute die damit ihren Workflow verbessen ist doch okay.

Mich stört nur, dass MIR immer abgesprochen wird keinen Nutzen zu haben, obwohl ich es öfter versucht habe. Ich habe halt bestimmte Erwartungen an Werkzeuge die LLMs nicht erfüllen.

Das einzige wo man gerne Diskutieren kann, ist eine Gegenüberstellung des Resoercenverbrauchs und der wirklich geleisteten Arbeit von LLMs.
Insbesondere wenn es Manager gibt wie bei Meta die einen Möglichst hohen Tokeverbrauch als Wertschöpfung sehen und dann Billionen Token einfach Verbannt werden ohne Schaffung des geringsten mehrwertes.