Claude від Anthropic виявив десятки багів у браузері Firefox
Час читання: 2 хв.
Моделі штучного інтелекту тепер здатні самостійно знаходити критичні вразливості в складному програмному забезпеченні. Минулого тижня компанія Anthropic розповіла про результати проекту з Mozilla, де нейромережа Claude Opus 4.6 виявила 22 вразливості в коді браузера Firefox. З них 14 отримали статус критично небезпечних, що становить майже п’яту частину від усіх серйозних експлойтів, усунутих в браузері за 2025 рік.
Наприкінці минулого року дослідники помітили, що модель Opus 4.5 легко справляється з бенчмарками на основі відомих вразливостей. Щоб ускладнити завдання, розробники вибрали актуальну версію Firefox – один з найбільш захищених проектів з відкритим вихідним кодом. Тестування почали з JavaScript-движка, оскільки він ізольований і має широку поверхню для атак при обробці зовнішнього коду.
Всього за двадцять хвилин роботи Claude виявила баг типу Use-After-Free, що дозволяє зловмиснику перезаписувати дані шкідливим кодом. В результаті ШІ просканував близько 6000 файлів на мові C++ і відправив 112 унікальних звітів в баг-трекер Bugzilla. Всі підтверджені виправлення вже впроваджені в оновленні Firefox 148.0, яким користуються сотні мільйонів людей.
Компанія Anthropic також вирішила перевірити, чи зможе ШІ написати експлойт для практичного використання знайдених вразливостей. Нейромережі доручили імітувати реальну атаку, щоб прочитати і записати локальний файл в цільовій системі. З сотень спроб, які обійшлися в $4000, Opus 4.6 зміг перетворити баг на робочий експлойт лише в двох випадках.
Обмеження нейромереж
Успішні експлойти спрацювали тільки в ослабленому тестовому середовищі, де була відключена «пісочниця» – базовий механізм ізоляції процесів. Це доводить, що пошук вразливостей поки що дається ШІ набагато легше і дешевше, ніж їх застосування для злому. Однак сам факт того, що нейромережа здатна генерувати примітивні експлойти, викликає серйозні побоювання в індустрії.
Щоб ШІ працював ефективніше, інженери використовували «верифікатор завдань». Цей механізм дозволяє моделі в реальному часі перевіряти, чи дійсно усунена вразливість і чи не зламав патч інші функції програми. Завдяки наданим ШІ тестовим сценаріям і готовим патчам фахівці Mozilla змогли оперативно прийняти звіти в роботу.
Найближчим часом Anthropic планує розширювати співпрацю зі спільнотою open-source і розвивати новий інструмент Claude Code Security. Зараз розробники знаходяться в унікальному становищі, коли ШІ захищає системи краще, ніж зламує їх. Але цей розрив скорочується, тому індустрії доведеться вводити нові заходи безпеки для контролю за потужними мовними моделями.
Запис Claude від Anthropic виявив десятки багів у браузері Firefox спершу з’явиться на iTechua – Новини про смартфони, гаджети і різні девайси.
