Claude Opus 4.5 обнаружила 22 уязвимости в Firefox за две недели

Команда Anthropic с помощью ИИ-модели Claude выявила в браузере Firefox 22 уязвимости, 14 из которых были отнесены компанией-разработчиком Mozilla к высокой степени серьезности.

Последняя цифра составляет приблизительно пятую часть от количества подобных проблем, обнаруженных в популярном интернет-обозревателе за весь 2025 год.

Исследователи Anthropic на протяжении двух недель использовали Claude Opus 4.5 для поиска уязвимостей в Firefox. Команда объяснила выбор браузера в качестве цели эксперимента тем, что он является одним из наиболее протестированных и безопасных проектов с открытым исходным кодом и высоким уровнем сложности.

Изначально разработчики сконцентрировали усилия на JavaScript-движке, поскольку его можно анализировать изолированно, а затем расширили работу модели на другие части кодовой базы.

После всего 20 минут исследования Claude сообщила об обнаружении уязвимости из категории Use After Free, которая позволяет злоумышленникам заменять данные произвольным содержимым. 

Суммарно LLM просканировала почти 6000 файлов с кодом на языке C++ и отправила 112 отчетов о проблемах. Большую их часть команда браузера исправила в версии Firefox 148, которая вышла в феврале. Патчи для остальных включат в следующие релизы.

В соответствии с заявлению специалистов Anthropic, после сотрудничества исследователи Mozilla начали самостоятельно экспериментировать с применением Claude с целью безопасности.

В ИИ-компании признали, что схема оказалась более эффективной в поиске уязвимостей, чем в попытках их применять. Разработчики попросили Claude продемонстрировать реальную атаку по вектору Use After Free.

«Мы провели сотни тестов, варьируя начальные условия, и потратили приблизительно $4000 на программный интерфейс-кредиты. Однако, несмотря на все усилия, Opus 4.6 смогла успешно превратить уязвимость в эксплойт лишь в двух случаях», — констатировали они.

В Anthropic отметили, что такое положение дел в ближайшей перспективе предоставляет преимущество специалистам по киберзащите при использовании ИИ. Однако то, что LLM все же удалось создать примитивный вредонос, «вызывает беспокойство».

Напомним, в феврале вайб-кодинг через Claude Opus 4.6 привел к взлому DeFi-проекта Moonwell на $1,78 млн.