Tento výsledek přímo navazuje na zprávu, kterou jsme přinesli v polovině března 2026 (viz článek Anthropic nepustil model Mythos Preview do světa. Tehdy Anthropic zveřejnil, že Mythos Preview dokáže autonomně hledat zero-day zranitelnosti a rovnou k nim psát funkční exploity. Model byl následně pozastaven mimo úzký okruh ověřených partnerů a Mozilla se zjevně stala jedním z nich. Aktuální test tak představuje první veřejně popsané reálné nasazení Mythos na skutečnou cílovou kódovou základnu s měřitelnými výstupy.

Holley formuluje dopad do bezpečnostní strategie pomocí ekonomiky zranitelností. Dosud platilo, že nalezení použitelné chyby v kódu velkého prohlížeče vyžaduje nákladnou lidskou práci – čas špičkového výzkumníka, dlouhá období fuzzingu na výkonných clusterech, reverzní inženýrství. Trh s exploity proto dlouhodobě odráží tuto cenovou strukturu: nejdražší zero-day chyby jsou ty, u kterých obránce nemá praktickou šanci je odhalit dřív než útočník. Mythos podle Mozilly tuto rovnici převrací, protože AI model dokáže procházet kód prohlížeče s řádově vyšší efektivitou a za řádově nižší cenu, než jakou platí útočník za totéž úsilí. Ve výsledku se zužuje okno mezi vznikem zranitelnosti a jejím objevením a záplatováním.

Pro provozovatele kritické infrastruktury, správce veřejných služeb a všechny organizace, které jsou cílem sofistikovaných útoků, má tento posun dvojí dopad. Na jedné straně lze očekávat, že prohlížeče, operační systémy a další rozšířený software budou brzy podrobeny podobné analýze ze strany výrobců, a tempo záplatování se zrychlí. Aktualizace budou vycházet v hustší frekvenci a s větším počtem opravených chyb, což vyžaduje disciplinovaný patch management a testovací infrastrukturu, která stíhá s novým rytmem. Na druhé straně je realistické předpokládat, že stejné nebo srovnatelné modely dříve či později získají i ofenzivní aktéři, a podmínkou přežití se stane rychlost reakce. Organizace, které dnes aktualizují klientské prohlížeče s týdenním nebo měsíčním zpožděním, budou muset své procesy výrazně zrychlit.

Otevřených otázek zůstává několik. Z veřejných informací není zřejmé, jak dlouho Mozilla test prováděla, zda 271 nálezů zahrnuje i duplicity nebo false positives a jakou část z nich se podařilo opravit v rámci jednoho vývojového cyklu. Rovněž není známo, zda podobnou analýzu plánují jiní výrobci prohlížečů, operačních systémů nebo jádrových komponent, a jak se k takovému nasazení AI postaví regulátoři v kontextu rizikové kategorizace podle AI Act. Pro odběratele Acresia Digest jde v každém případě o signál, že debata o AI v kybernetické bezpečnosti opouští rovinu teoretických scénářů a vstupuje do fáze, kdy se o schopnostech modelů rozhoduje na konkrétních kódových základnách s měřitelnými výsledky.

The Register

Acresia