Slo-Tech - Mythos, ki ga je predstavil Anthropic, je zgolj najnovejše in doslej najboljše orodje za iskanje lukenj v programski opremi, še zdaleč pa ni edino. Z umetno inteligenco je mogoče temeljite in hitreje pregledati kodo kot kdajkoli, kar so priznali tudi v Mozilli. V Firefoxu so od februarja, ko so se lotili podrobnega pregleda Firefoxove kode z Anthropicovimi orodji, odkrili skoraj tristo lukenj.

Že marca so razkrili, da so z Opusom 4.6 v Firefoxu 148 našli in zakrpali 22 ranljivosti. Iskanje lukenj pa je eksplodiralo z Mythosom, saj so odkrili 271 ranljivosti, ki jih odpravlja nova verzija Firefox 150, ki je izšla ta teden. Ugotavljajo, da so številne ranljivosti takšne, da bi še pred letom dni povzročile hude šoke, sedaj pa jih odkrivajo z umetno inteligenco, ki potem pomaga poiskati tudi rešitve. In Firefox pri tem ni nič bolj luknjičasta programska oprema kot kakšna druga.

Bobby Holley iz Mozille pravi, da je bila doslej tekma med napadalci in pisci programske opreme kvečjemu...

Slo-Tech - Anthropic, znan po izjemno sposobnem modelu za pisanje kode Claude, je razvil nov model Mythos, namenjen iskanju ranljivosti v kodi in računalniških sistemih nasploh. Model je tako zmogljiv, da javnosti sploh ne dovolijo dostopa.

Za zdaj bodo dostop dobila le nekatera izbrana podjetja, med katerimi so Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia in Palo Alto Networks. Z njim bodo lahko okrepila zaščito, zakrpala hrošče v svoji programski opremi in preverila tveganje uspešnega napada hekerjev.

Uradno se novi model imenuje Claude Mythos Preview in je na voljo le v okviru iniciative Glasswing. Anthropic pojasnjuje, da je model že odkril več tisoč zelo nevarnih ranljivosti v priljubljeni programski opremi, med drugim v vseh brskalnikih, operacijskih sistemih in pisarniških paketih. Mythos najprej odkrije ranljivost, nato pa je sposoben izdelati delujočo kodo za izrabo (exploit). Kot primer so...

Slo-Tech - Anthony Enzor-DeMeo je bil danes imenovan za novega direktorja Mozille, ki jo najbolje poznamo po brskalniku Firefox, ki je ena redkih pravih alternativ Chromu in ostalim brskalnikom na istem pogonu. Enzor-DeMeo je bil pred tem leto dni glavni menedžer v Mozilli, sedaj pa bo na čelu podjetja nasledil Lauro Chambers, ki je podjetje dve leti vodila kot vršilka dolžnosti.

Pred Mozillo so zahtevni časi. Chrome in Edge sta neizprosna, ki sta že prevzela večinski del trga, v zadnjem času pa se pojavljajo novi igralci, ki uporabljajo umetno inteligenco. Zato ni presenetljivo, da je Enzor-DeMeo napovedal razširitev ekosistema Firefox/Mozilla s funkcionalnostmi umetne inteligence.

A glavna težava bo seveda financiranje. Mozilla je trenutno življenjsko odvisna od Googla, saj prispevek za uporabo Googla kot privzetega iskalnika v Firefoxu prejme 85 odstotkov vseh prihodkov. Firefox bo tudi zato ostal temelj Mozillinega delovanja.

Mozillin glavni moto ostaja zaupanja vredna programska...

Slo-Tech - Novejši AMD-jevi procesorji Ryzen 3000 imajo zanimivega hrošča, ki kljub navidezni benignosti povzroča velika probleme. Generator naključnih števil, ki ga vsebujejo, namreč ne vrača prav nič naključnih števil, temveč vedno 0xFFFFFFFF. Vgrajen generator naključnih števil v procesorjih je že od Intelovih Broadwellov in AMD-jevih Zenov nekaj običajnega, zato se številni programi zanašajo nanj. Procesorji imajo vgrajeno funkcijo RDRAND, ki iz termične entropije procesorja pridobi naključno število in ga vrne programu, ki zanj zaprosi. Ob tem imajo tudi kontrolni bit, ki sporoči, ali ima procesor sploh dovolj entropije za tvorjenje naključnih števil. AMD-jevi procesorji trdijo, da je imajo, a potem vedno vrnejo 0xFFFFFFFF. AMD je napako priznal že maja in pripravil popravek, ki pa ga morajo v BIOS spraviti proizvajalci matičnih plošč - in številni tega sploh še niso storili, pa uporabniki ne morejo storiti ničesar.

Posledice so najrazličnejše. Zloglasni program v Linuxu systemd, ki...

Slo-Tech - Španski matematiki so našli hrošča v zadnjih verzijah programskega paketa Mathematica, ki povzroči napačne rezultate nekaterih izračunov in celo različne rezultate ob več zagonih z istimi vhodnimi parametri. Hrošč se vleče že vsaj štiri leta, Wolfram pa ga kljub poročilu pred letom dni še vedno ni popravil.

Na napako so naleteli, ko so računali Casoratijeve determinante in želeli dokazati nekaj izrekov. Pri izračunih v Mathematici so odkrili nekaj protiprimerov, medtem ko so isti izračuni v Maplu kazali, da protiprimerov ni. Podrobna analiza je pokazala, da sta možna le dva scenarija - bodisi napak računa Mathematica bodisi Maple.

Iskanje hrošča je pokazalo, da je krivec Mathematica. Ne le da nekatere vrednosti determinant izračuna narobe, pri nekaterih primerih vrne...

Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka....