एन्थ्रोपिक की रेड टीम के साथ फ़ायरफ़ॉक्स को सख्त बनाना
दो दशकों से अधिक समय से, फ़ायरफ़ॉक्स वेब पर सबसे अधिक जांचे जाने वाले और सुरक्षा-कठोर कोडबेस में से एक रहा है। ओपन सोर्स का मतलब है कि हमारा कोड वैश्विक समुदाय द्वारा दृश्यमान, समीक्षा योग्य और लगातार तनाव-परीक्षण योग्य है।
कुछ हफ्ते पहले, एंथ्रोपिक की फ्रंटियर रेड टीम ने एक नई एआई-सहायता वाली भेद्यता-पहचान पद्धति के परिणामों के साथ हमसे संपर्क किया था, जो पुनरुत्पादित परीक्षणों के साथ एक दर्जन से अधिक सत्यापन योग्य सुरक्षा बग सामने आए थे। हमारे इंजीनियरों ने निष्कर्षों की पुष्टि की और हाल ही में भेजे गए से पहले सुधार किए फ़ायरफ़ॉक्स 148.
उपयोगकर्ताओं के लिए, इसका मतलब फ़ायरफ़ॉक्स में बेहतर सुरक्षा और स्थिरता है। हमारे सुरक्षा टूलकिट में नई तकनीकों को जोड़ने से हमें कमजोरियों को पहचानने और उन्हें ठीक करने में मदद मिलती है, इससे पहले कि उनका शोषण किया जा सके।
फ़ायरफ़ॉक्स इंजीनियरों द्वारा दबाव-परीक्षणित एक उभरती हुई तकनीक
एआई-सहायता प्राप्त बग रिपोर्ट का ट्रैक रिकॉर्ड मिश्रित होता है, और संदेह उत्पन्न होता है। बहुत अधिक सबमिशन का मतलब झूठी सकारात्मकता और ओपन सोर्स प्रोजेक्ट्स के लिए अतिरिक्त बोझ है। एंथ्रोपिक में फ्रंटियर रेड टीम से हमें जो मिला वह अलग था।
हमारे जावास्क्रिप्ट इंजन में सुरक्षा बग की पहचान करने के लिए क्लाउड का उपयोग करने के बाद एंथ्रोपिक की टीम ने फ़ायरफ़ॉक्स इंजीनियरों से संपर्क किया। गंभीर रूप से, उनकी बग रिपोर्ट में न्यूनतम परीक्षण मामले शामिल थे जो हमारी सुरक्षा टीम को प्रत्येक मुद्दे को तुरंत सत्यापित करने और पुन: उत्पन्न करने की अनुमति देते थे।
कुछ ही घंटों के भीतर, हमारे प्लेटफ़ॉर्म इंजीनियरों ने सुधार करना शुरू कर दिया, और हमने ब्राउज़र कोडबेस के बाकी हिस्सों में समान तकनीक लागू करने के लिए एंथ्रोपिक के साथ एक मजबूत सहयोग शुरू किया। कुल मिलाकर, हमने इस कार्य के परिणामस्वरूप 14 उच्च-गंभीरता वाले बग खोजे और 22 सीवीई जारी किए। ये सभी बग अब ब्राउज़र के नवीनतम संस्करण में ठीक कर दिए गए हैं।
22 सुरक्षा-संवेदनशील बग के अलावा, एंथ्रोपिक ने 90 अन्य बग की खोज की, जिनमें से अधिकांश अब ठीक कर दिए गए हैं। कम-गंभीरता वाले कई निष्कर्ष दावे की विफलताएं थीं, जो परंपरागत रूप से फ़ज़िंग के माध्यम से पाए जाने वाले मुद्दों के साथ ओवरलैप हो गईं, एक स्वचालित परीक्षण तकनीक जो क्रैश और बग को ट्रिगर करने के लिए सॉफ़्टवेयर को बड़ी संख्या में अप्रत्याशित इनपुट फ़ीड करती है। हालाँकि, मॉडल ने तर्क त्रुटियों के अलग-अलग वर्गों की भी पहचान की, जिन्हें फ़ज़र्स ने पहले उजागर नहीं किया था।
एंथ्रोपिक ने अपनी शोध प्रक्रिया और निष्कर्षों का एक तकनीकी लेख भी प्रकाशित किया है, जिसके लिए हम आपको आमंत्रित करते हैं यहां पढ़ें.
निष्कर्षों का पैमाना निरंतर सुधार के लिए नए विश्लेषण उपकरणों के साथ कठोर इंजीनियरिंग के संयोजन की शक्ति को दर्शाता है। हम इसे स्पष्ट प्रमाण के रूप में देखते हैं कि बड़े पैमाने पर, एआई-सहायता प्राप्त विश्लेषण सुरक्षा इंजीनियरों के टूलबॉक्स में एक शक्तिशाली नया योगदान है। फ़ायरफ़ॉक्स ने दशकों में सबसे व्यापक फ़ज़िंग, स्थिर विश्लेषण और नियमित सुरक्षा समीक्षा की है। इसके बावजूद, मॉडल कई पूर्व अज्ञात बगों को प्रकट करने में सक्षम था। यह फ़ज़िंग के शुरुआती दिनों के समान है; व्यापक रूप से तैनात सॉफ़्टवेयर में अब खोजे जाने योग्य बगों का पर्याप्त बैकलॉग होने की संभावना है।
फ़ायरफ़ॉक्स को यादृच्छिक रूप से नहीं चुना गया था। इसे इसलिए चुना गया क्योंकि यह एक व्यापक रूप से तैनात और गहराई से जांच की गई ओपन सोर्स परियोजना है – रक्षात्मक उपकरणों की एक नई श्रेणी के लिए एक आदर्श सिद्ध आधार। मोज़िला ऐतिहासिक रूप से फ़ायरफ़ॉक्स उपयोगकर्ताओं की सुरक्षा के लिए उन्नत सुरक्षा तकनीकों को तैनात करने में अग्रणी रहा है। उसी भावना में, हमारी टीम ने हमलावरों से पहले कमजोरियों को खोजने और ठीक करने के लिए हमारे आंतरिक सुरक्षा वर्कफ़्लो में एआई-सहायता विश्लेषण को एकीकृत करना शुरू कर दिया है।
उपयोगकर्ताओं के लिए खुले में निर्माण
फ़ायरफ़ॉक्स ने हमेशा सार्वजनिक रूप से निर्माण करने और एक ऐसा ब्राउज़र बनाने के लिए हमारे समुदाय के साथ काम करने का समर्थन किया है जो उपयोगकर्ताओं को पहले स्थान पर रखता है। यह कार्य उभरती प्रौद्योगिकियों को सोच-समझकर लागू करने और उपयोगकर्ता सुरक्षा की सेवा में मोज़िला की दीर्घकालिक प्रतिबद्धता को दर्शाता है।
एंथ्रोपिक में फ्रंटियर रेड टीम ने दिखाया कि इस क्षेत्र में सहयोग व्यवहार में कैसा दिखता है: जिम्मेदारी से रखरखाव करने वालों को बग का खुलासा करना, और उन्हें यथासंभव कार्रवाई योग्य बनाने के लिए मिलकर काम करना। जैसे-जैसे एआई हमलों और बचाव दोनों को तेज करता है, मोज़िला उन उपकरणों, प्रक्रियाओं और सहयोगों में निवेश करना जारी रखेगा जो सुनिश्चित करते हैं कि फ़ायरफ़ॉक्स मजबूत होता रहे और उपयोगकर्ता सुरक्षित रहें।