След като AI‑моделът Claude Opus 4.6 откри над 500 неизвестни уязвимости в отворен код, сега от Anthropic разкриха, че техният AI модел е идентифицирал 22 нови уязвимости във Firefox в рамките на партньорство с Mozilla. Откритията са направени за две седмици през януари 2026 г., а поправките вече са включени във Firefox 148.
От всички докладвани проблеми 14 са с висока опасност, седем със средна, а един – с ниска. Според компанията това количество високорискови бъгове представлява почти една пета от всички критични уязвимости, коригирани във Firefox през 2025 г. Особено впечатляващо е, че моделът е открил use‑after‑free дефект в JavaScript двигателя само след около 20 минути анализ, като впоследствие откритието е потвърдено от изследовател в изолирана среда.
Anthropic съобщава, че Claude е сканирал близо 6000 C++ файла и е генерирал общо 112 уникални доклада. Повечето проблеми вече са отстранени, а останалите ще бъдат поправени в следващи версии на браузъра.
AI, експлойти и реалните ограничения
Компанията е провела и експеримент, в който моделът получава достъп до списъка с уязвимости и задачата да разработи работещ експлойт. Въпреки стотици опити и разход от около 4000 долара за API заявки, Claude успява да създаде експлойт само в два случая. Това показва две важни тенденции:
- Откриването на уязвимости е значително по-евтино от създаването на експлойт за тях.
- Моделът е по-добър в анализа на код, отколкото в разработването на атаки.
Въпреки това фактът, че AI може автоматично да произведе работещ експлойт, макар и в ограничена тестова среда без сендбокс, остава тревожен сигнал. За да се гарантира коректността на резултатите, процесът включва т.нар. task verifier, който проверява дали експлойтът действително функционира и дава обратна връзка за следващи итерации.
Един от създадените експлойти е за CVE‑2026‑2796 (CVSS 9.8) – JIT грешка в WebAssembly компонента на JavaScript двигателя.
Mozilla потвърждава, че AI‑подпомогнатият анализ е открил още 90 проблема, повечето вече коригирани. Част от тях са припокриващи се с резултати от fuzzing, но има и логически грешки, които традиционните инструменти не са успели да засекат.
Според Mozilla това е доказателство, че комбинирането на инженерни практики с мащабен AI анализ може да се превърне в мощен инструмент за подобряване на сигурността на софтуера.
