Компания Anthropic провела эксперимент по автоматическому поиску уязвимостей в браузере Firefox с помощью своей модели искусственного интеллекта Claude Opus 4.6. Всего за две недели система обнаружила 22 проблемы безопасности, включая 14 критических. Большинство из них уже устранены в обновлении Firefox 148. История показывает, насколько мощными становятся ИИ-инструменты для анализа кода и поиска ошибок.
Как проходило исследование
Работа проводилась в рамках сотрудничества Anthropic и Mozilla. Исследователи решили проверить, способен ли современный ИИ эффективно анализировать сложный и давно изученный код крупного open-source проекта.
В качестве тестовой площадки выбрали Firefox, один из самых масштабных и тщательно проверяемых браузеров с большим объёмом исходного кода. Эксперимент занял около двух недель в январе 2026 года.
Модель Claude Opus 4.6 получила доступ к исходному коду браузера и начала автоматический анализ. За это время она:
просканировала почти 6000 файлов на C++
сформировала 112 уникальных отчётов о потенциальных уязвимостях
выявила 22 подтверждённые проблемы безопасности
После обнаружения каждая найденная ошибка проверялась человеком-исследователем в изолированной виртуальной среде, чтобы исключить ложные срабатывания.
Какие уязвимости были найдены
Из обнаруженных проблем:
14 получили высокий уровень критичности
7 средний
1 низкий
По данным Anthropic, только найденные этой системой критические уязвимости составляют почти пятую часть всех серьёзных проблем безопасности, исправленных в Firefox за весь 2025 год.
Первую ошибку система обнаружила всего через 20 минут после начала анализа. Это была уязвимость типа use-after-free в JavaScript-движке браузера.
Большая часть обнаруженных проблем была устранена в версии Firefox 148, выпущенной в конце февраля 2026 года. Остальные исправления планируется добавить в следующих обновлениях.
Может ли ИИ создавать эксплойты
После обнаружения уязвимостей исследователи дали Claude ещё одну задачу попытаться автоматически написать рабочие эксплойты.
Эксперимент проводился сотни раз и обошёлся примерно в 4000 долларов API-кредитов. Однако результат оказался гораздо скромнее:
полноценный эксплойт удалось создать лишь в двух случаях
оба работали только в лабораторной тестовой среде
В реальных условиях эти атаки не сработали бы из-за дополнительных механизмов защиты Firefox, включая sandbox-изоляцию.
Почему это важный сигнал для индустрии
Исследование показывает важную тенденцию: поиск уязвимостей с помощью ИИ становится значительно дешевле и быстрее, чем их эксплуатация.
Это имеет двойственный эффект. С одной стороны, разработчики могут использовать такие инструменты для автоматического аудита безопасности и поиска сложных ошибок. С другой стороны, те же технологии потенциально могут использоваться злоумышленниками для массового поиска уязвимостей в популярных проектах.
В Anthropic отмечают, что даже ограниченный успех в автоматической генерации эксплойтов уже вызывает определённые опасения, особенно если подобные системы будут продолжать совершенствоваться.
Как устроен процесс автоматического поиска уязвимостей
Для работы системы использовалась специальная архитектура анализа:
ИИ исследует кодовую базу и формирует гипотезы о возможных ошибках.
Затем создаётся тестовый сценарий, который пытается воспроизвести проблему.
Отдельный модуль-верификатор проверяет, действительно ли уязвимость проявляется.
Результаты передаются обратно модели, чтобы она могла улучшить следующую итерацию анализа.
Такая обратная связь позволяет модели постепенно уточнять гипотезы и повышать точность обнаружения проблем.
Будущее ИИ в безопасности ПО
Эксперимент Anthropic стал ещё одним подтверждением того, что большие языковые модели постепенно превращаются в мощные инструменты аудита безопасности.
Для open-source проектов это может означать новый этап развития: автоматические системы смогут регулярно проверять код на тысячи потенциальных уязвимостей.
Однако одновременно растёт и риск того, что такие же инструменты будут использоваться атакующими для поиска слабых мест быстрее, чем разработчики успеют их исправлять.
Источник: HN