ИИ-модель Claude от Anthropic выявила 22 уязвимости в браузере Firefox за две недели

Claude просканировала почти 6000 файлов кода Firefox

Компания Anthropic провела совместный эксперимент с Mozilla, направленный на проверку возможностей языковой модели Claude Opus 4.5 в области обнаружения проблем безопасности. Целью стал браузер Firefox — один из самых тщательно проверенных open-source-проектов с высоким уровнем сложности кодовой базы.

За двухнедельный период ИИ-модель обнаружила 22 уязвимости, 14 из которых Mozilla квалифицировала как имеющие высокую степень серьёзности. Это число эквивалентно примерно одной пятой от всех серьёзных багов, которые разработчик браузера устранил на протяжении всего 2025 года.

«We partnered with Mozilla to test Claude's ability to find security vulnerabilities in Firefox. Opus 4.6 found 22 vulnerabilities in just two weeks. Of these, 14 were high-severity, representing a fifth of all high-severity bugs Mozilla remediated in 2025.» — Anthropic (@AnthropicAI), оригинальный пост

Почему это важно

Результаты эксперимента демонстрируют растущий потенциал языковых моделей в сфере кибербезопасности. Если одна ИИ-система за две недели способна найти пятую часть годового объёма критичных уязвимостей в одном из наиболее защищённых браузеров, это меняет расстановку сил в области аудита безопасности программного обеспечения. Одновременно возникает вопрос о рисках: те же технологии потенциально могут быть использованы злоумышленниками.

Как проходил эксперимент

Исследователи Anthropic начали с анализа JavaScript-движка Firefox, поскольку его можно было изучать изолированно от остальной системы. Впоследствии область анализа расширилась на другие компоненты кодовой базы браузера.

Уже через 20 минут после начала работы Claude зафиксировала уязвимость категории Use After Free — тип ошибки, позволяющий злоумышленникам подменять данные произвольным содержимым. В общей сложности модель проанализировала около 6000 файлов на языке C++ и сформировала 112 отчётов о выявленных проблемах.

Основную часть найденных уязвимостей команда Mozilla устранила в версии Firefox 148, выпущенной в феврале. Оставшиеся патчи войдут в последующие релизы браузера.

ИИ лучше ищет уязвимости, чем эксплуатирует их

Специалисты Anthropic признали, что Claude оказалась значительно эффективнее в обнаружении проблем безопасности, нежели в их практической эксплуатации. Для проверки этого аспекта модели предложили продемонстрировать реальную атаку, используя вектор Use After Free.

Тест был проведён несколько сотен раз с различными начальными условиями, а расходы на API-кредиты составили порядка $4000. Несмотря на масштабность испытаний, Opus 4.6 сумела превратить уязвимость в работающий эксплойт лишь в двух случаях.

По оценке Anthropic, подобная асимметрия — когда ИИ находит уязвимости эффективнее, чем использует их — в краткосрочной перспективе создаёт преимущество для специалистов по киберзащите. Тем не менее сам факт, что языковая модель всё же смогла создать примитивный вредоносный код, компания назвала «вызывающим беспокойство».

Mozilla продолжает работу с Claude

После завершения совместного проекта исследователи Mozilla приступили к самостоятельным экспериментам с применением Claude для целей безопасности. Это говорит о том, что результаты партнёрства оказались достаточно убедительными для интеграции ИИ-инструментов в процессы аудита кода крупного open-source-проекта.

Ранее, в феврале, так называемый вайб-кодинг с использованием Claude Opus 4.6 привёл к взлому DeFi-протокола Moonwell с ущербом в $1,78 млн — событие, которое наглядно продемонстрировало двойственный характер применения ИИ в контексте безопасности.