Danke @Sören 
Hab schon auf solch einen Artikel von dir gewartet, nachdem ich gestern den Artikel https://www.heise.de/news/Dank-KI-I…n-11287023.html bei Heise las.
Vermutlich wird es in der nächsten Zeit noch einige solcher Häufungen gefundener und gefixter Lücken geben, bis die Sourcen an sich signifikant fehlerfreier sind als noch vor kurzer Zeit. Der Trend ist m.E. positiv.
Vermutlich wird es auch deswegen in Zukunft mehr Firefox-Updates als bisher geben. Aber das ist ein Artikel-Thema für morgen. 
423 Fehler? Schon irre, oder? Scheint aber normal zu sein und betrifft nicht nur den Firefox, sondern sicher alle Browser. Finde ich aber gut, wenn das der Sicherheit dient....
... und betrifft nicht nur den Firefox, sondern sicher alle Browser.
prinzipiell sogar sämtliche Software.
Unbekannt ist nur, welcher Anbieter wie schnell a) Zugriff auf solche Tools hat, b) wie schnell davon Gebrauch macht und c) wie (transparent) die Ergebnisse dann kommuniziert werden.
Das ist natürlich erst einmal schön und erfreulich. Aber man sollte bedenken, dass auch die "Gegenseite" über diese Tools verfügt bzw. verfügen wird. Das ist ein entscheidender Wendepunkt bei der Beurteilung von Code-Qualität und Cybersicherheit. Eigentlich müsste jedes noch so kleine (OpenSource-) Programm vor der Freigabe oder Update mit der KI-Anwendung überprüft werden, was so aber wohl nicht vorgesehen ist, da aus Sicherheitsgründen bis jetzt nur eine Handvoll Firmen/Projekte das Tool nutzen kann. Außerdem ist es nur eine Frage der Zeit, bis andere KI-Modelle diese Übung genauso gut oder sogar besser hinbekommen. Es bleibt wohl bis auf weiteres ein Hase/Igel-Rennen.
Leider führt die eigentlich faszinierende Technik "KI" immer mehr dazu, dass man nichts und niemandem mehr vertrauen kann. Beispiele: Texte, Bilder, Audio-Aufnahmen, Videos, Programme(!). Das passiert auf einem gänzlich anderen Level als es früher schon der Fall war. Jedes Kind kann mittlerweile ein paar Stichworte in ein LLM eintippen und bekommt dann extrem überzeugende Ergebnisse, die mehr als brauchbar sind. Was das mit den Menschen in Zukunft machen wird, möchte ich mir momentan gar nicht vorstellen...wahrscheinlich ein ganz neues Verständnis von dem, was man noch für real und vertrauenswürdig hält?! 
Aber man sollte bedenken, dass auch die "Gegenseite" über diese Tools verfügt bzw. verfügen wird. Das ist ein entscheidender Wendepunkt bei der Beurteilung von Code-Qualität und Cybersicherheit. […] Es bleibt wohl bis auf weiteres eine Hase/Igel-Rennen.
Das ist zwar richtig, vor allem für Entwickler mit wenig Ressourcen und Erfahrung. Aber für Browserhersteller wie Mozilla ist das ein absoluter Game-Changer im positiven Sinne. Denn bisher war das Schließen von Sicherheitslücken häufig ein Reagieren. Jetzt gibt es die Technologie, die es erlaubt, deutlich mehr Schwachstellen proaktiv zu entdecken und zu beheben, d.h. bevor diese überhaupt in einem finalen Produkt ausgeliefert werden. Das bringt dem Angreifer dann auch nichts, wenn er Zugriff auf solche Tools hat, wenn die jeweilige Schwachstelle zu dem Zeitpunkt gar nicht mehr existiert.
Die zahlreichen Sicherheitslücken, die zuletzt geschlossen worden sind, waren teilweise schon seit langer Zeit vorhanden. So hat Mozilla unter anderem zwei Schwachstellen als Beispiel genannt, welche bereits 15 respektive 20 Jahre lang in Firefox vorhanden waren und weder von Menschen noch von anderen genutzten Sicherheits-Tools gefunden wurden. Das heißt, in dieser Phase wird auch noch viel reagiert. In Zukunft werden damit aber Sicherheitslücken von Anfang an verhindert, die sonst erst viel später, falls überhaupt, erst entdeckt worden wären. Und Mozilla hat bereits angekündigt, sogar noch einen Schritt weiter gehen zu wollen. Bereits in naher Zukunft sollen KI-Checks unmmittelnbar nach der Integration von neuem Code automatisch erfolgen und Schwachstellen so noch früher im Prozess aufgedeckt werden.
Jetzt gibt es die Technologie, die es erlaubt, deutlich mehr Schwachstellen proaktiv zu entdecken und zu beheben, d.h. bevor diese überhaupt in einem finalen Produkt ausgeliefert werden. Das bringt dem Angreifer dann auch nichts, wenn er Zugriff auf solche Tools hat, wenn die jeweilige Schwachstelle zu dem Zeitpunkt gar nicht mehr existiert.
Ich hatte ich ja geschrieben, dass bei jeder Code-Änderung in Zukunft ein solches Tool eingesetzt werden muss(!), da man sonst mit geradezu absoluter Sicherheit die Schwachstelle in Form eines Exploits wieder um die Ohren gehauen bekommt. Mozilla ist da JETZT noch in einer komfortablen Position. Aber man sollte eben auch die Aufmerksamkeit auf die vielen kleinen Anbieter/Entwickler von Softwareprodukten richten, die sich nicht in dieser privilegierten Position befinden. Ob jetzt mein Rechner über einen Fehler im Firefox oder z.B. Notepad++ übernommen wird, ist mir als Anwender dann letztendlich auch egal. Es muss sich in der gesamten Softwareentwicklung was verändern, sonst sind z.B. sehr viele kleine OpenSource-Projekte tot.
Wäre Claude auch was für unsere Javascript-"Spezies" hier was?
Es gibt zwar eine kostenlose Nutzung, aber bei 5 Euro denke ich, ist diese Nutzung irgendwo sehr limitiert. Für mich lohnt sich das persönlich nicht.
Dann aber Claude Opus oder Claude Sonnet, nicht Claude Mythos.
Wäre Claude auch was für unsere Javascript-"Spezies" hier was?
Nö. Ich habe auch schon überlegt!
Meine Gedanken dazu.
Die Skripte laufen ja nur in der Browserengine,
wenn diese Sicher ist, sollte es kein Problem sein.
Wenn man aber aus dem I-Net irgendwie doch an diese Skripte herankommt
und deren "Lücken" ausnutzen kann/könnte,
wäre es eventuell besser ganz auf JS zu verzichten!
Ich muss mich dieses Thema noch etwas schlauer machen
und warte mal ab, was andere User so im Netz zu JS im Browser meinen.
Und auch, was Sören Hentzschel dazu schreibt.
Netzfund!
Ich schreibe professionell JS und bin auch ein Verfechter von Datenschutz und Sicherheit, daher kann ich diesen Punkt besonders genau beleuchten.
Aus Sicherheitsgründen ist JavaScript ziemlich sicher. Angenommen, Sie sprechen davon im Kontext eines Webbrowsers, wird es in Sandboxen in Browser-Engines ausgeführt, die von Unternehmen unterstützt werden, die viel zu verlieren haben.
Das heißt nicht, dass es perfekt ist (suchen Sie nach Chrome- und Firefox-Zero-Day-Schwachstellen, es gab vor kurzem einige), es gibt Exploits, die verwendet werden können, um beliebigen Code auf Ihrem lokalen Rechner auszuführen. Diese sind jedoch äußerst unwahrscheinlich, dass sie Sie jemals betreffen, und werden schnell gepatcht. Im Allgemeinen ist JavaScript sicher und zuverlässig. Wenn Sören das in etwa bestätigen würde, denke ich, sind die UserScripte nicht wirklich das Problem.
Aber klar, es wäre wünschenswert eine bessere KI zu haben, die speziell JS "kann" und diese Skripte
dann sauberer und besser machen könnte.
Bisher ist es ja eher so, dass der Fokus auf "funktioniert" oder "funktioniert eben nicht" liegt.
Dann aber Claude ...
Konnte ich leider nicht erkennen, was ich bekäme bei der Auswahl, was ich bestellen könnte. Es geht immer nur über "Try Claude". Vermutlich kann ich das später auswählen. Es gab etliche Webseiten, wo man diverse Angebote kombinieren könne, womit man dann einen Bonus mit 300 Euro bekommen könnte.
Opus scheint wohl zuerst Updates zu erhalten, dann Sonnet, und Haiku ist noch bei 2025. "Mythos" wird gar nicht verlinkt, wie ich lesen kann, hat das aber auch sehr gute Gründe
Obwohl Mythos für so manche Programmiersprachen, die mit Bibliotheken arbeiten, nützlich wäre. Denn einige Autoren lassen ihre Werke auch auf das Internet los.
Wenn Sören das in etwa bestätigen würde, denke ich, sind die UserScripte nicht wirklich das Problem.
Aber klar, es wäre wünschenswert eine bessere KI zu haben, die speziell JS "kann" und diese Skripte
dann sauberer und besser machen könnte.
Man kann nicht pauschal sagen, dass ein Script oder eine Sprache sicher oder unsicher ist. Letztlich ist JavaScript ein Werkzeug, das man richtig oder falsch benutzen kann. Ich denke aber auch nicht, dass es sinnvoll wäre, eine KI Code prüfen zu lassen, den ohnehin vorher eine KI geschrieben hat. Generell, wenn es darum geht, KI zu verwenden, sollte man für das beste Ergebnis immer schauen, was man möchte, welche Modelle einem zur Verfügung stehen und was die entsprechende Spezialisierung ist.
Opus scheint wohl zuerst Updates zu erhalten, dann Sonnet, und Haiku ist noch bei 2025. "Mythos" wird gar nicht verlinkt, wie ich lesen kann, hat das aber auch sehr gute Gründe
Es geht nicht darum, welches Modell wann Updates erhält, sondern vor allem darum, worauf die Modelle spezialisiert sind. Und für Programmieraufgaben wären das bei Anthropic Claude Opus oder Claude Sonnet. Claude Haiku ist hierfür kein passendes Modell. Claude Mythos steht bislang nur wenigen Unternehmen (unter anderem Mozilla) als Vorschau zur Verfügung und ist nicht für beliebige Programmierarbeiten gedacht, sondern im Bereich der Cybersicherheit anzusiedeln.
Danke.
