Mozilla CTO Bobby Holley: Mythos ने Firefox 150 में 271 zero-days खोजे, 'दुनिया के सर्वश्रेष्ठ security researchers के बराबर capable'

Firefox 150 इस हफ्ते 271 zero-day vulnerabilities patched के साथ ship हुआ, सभी Anthropic के Claude Mythos Preview द्वारा Project Glasswing collaboration के माध्यम से surface किए गए। Firefox CTO Bobby Holley ने release के बारे में interview में Mythos को "दुनिया के सर्वश्रेष्ठ security researchers के बराबर capable" कहा। यह Mozilla के मार्च के disclosure से substantive escalation है, जब Claude Opus 4.6 ने 112 bugs और 22 security CVEs (14 high-severity) खोजे जो Firefox 148 में उतरे।

271 बनाम 112 की छलांग Anthropic ने अपने Mythos red-team report में publish किए capability delta को ट्रैक करती है। Firefox 147 JavaScript exploit development पर, Opus 4.6 ने कई सौ प्रयासों में 2 working exploits produce किए। Mythos ने उसी task पर 181 produce किए, लगभग 90 गुना success rate। Production terms में, यही है जो Mozilla के scale पर एक ही model-generation step में zero-day discovery count को दो गुना से अधिक कर देता है। सभी 271 vulnerabilities Firefox 150 में patched हैं, इसीलिए Mozilla number publish कर सकता है। Holley की framing ने जोर दिया कि AI tools अब "vulnerability-inducing errors के पूरे space को cover" कर सकते हैं उन तरीकों से जो hardened software भेजने का अर्थ बदल देते हैं।

दो बातें जो यह firm up करती हैं। एक, Anthropic के capability numbers जिन्हें Sam Altman ने इस हफ्ते की शुरुआत में "fear-based marketing" कहा, अब production में प्रत्यक्ष counterweight है: एक असली browser में एक असली CTO यह कह रहा है कि असली model ने 271 असली zero-days खोजे, सभी उस release में patched जो सैकड़ों लाखों users को ship करता है। Altman piece में मैंने जो empirical test flagged किया था वह बारह महीनों से तेज़ हो गया है। दो, पहले के Opus 4.6 collaboration से Mozilla-encourages-bulk-submission pattern स्पष्ट रूप से Mythos-tier throughput के तहत scale कर रहा है। Workflow (model finds, humans verify, ship) 271 पर टिका।

अगर आप browser-class या OS-class C/C++ codebase maintain करते हैं, इस release से व्यावहारिक प्रश्न "क्या एक AI मेरे code में bugs खोज सकती है" नहीं है। यह है "क्या मेरी supply chain में defenders के पास Mythos-tier access है, और अगर नहीं, तो कब होगा।" Project Glasswing के चालीस partner organizations अब Firefox 150 को उस concrete case study के रूप में point कर सकते हैं जो एक vetted defender preview access के साथ हासिल कर सकता है। Asymmetry access वाले defenders के पक्ष में है, अस्थायी रूप से। अगर आप उस list पर नहीं हैं, पकड़ने की window इस बात पर चलती है कि equivalent capabilities को Anthropic के public tier या किसी Chinese open-weights lab तक पहुंचने में कितना समय लगता है। Exploit development पर 90x multiplier वह number है जो मान लेना चाहिए, उसके खिलाफ hope नहीं करना चाहिए।