Odkrycie 22 nowy luk bezpieczeństwa w Firefoxie przez Anthropic
W piątek firma Anthropic poinformowała o odkryciu 22 nowych luk bezpieczeństwa w przeglądarce Firefox, w ramach współpracy z Mozilla. Z tych 22 luk, 14 zostało sklasyfikowanych jako wysokiego ryzyka, 7 jako średniego, a jedna jako niskiego. Problemy zostały rozwiązane w Firefoxie 148, który został wydany pod koniec zeszłego miesiąca. Luki zostały zidentyfikowane w ciągu dwóch tygodni w styczniu 2026 roku.
Firma zajmująca się sztuczną inteligencją (AI) stwierdziła, że liczba zidentyfikowanych przez jej model językowy Claude Opus 4.6 luk o wysokim ryzyku stanowi „niemal jedną piątą” wszystkich high-severity vulnerabilities, które zostały załatane w Firefoxie w 2025 roku.
Wykrywanie luk i ich naprawa
Model LLM wykrył błąd typu use-after-free w JavaScript przeglądarki po „jedynie” 20 minutach eksploracji, który został następnie zweryfikowany przez badacza w wirtualnym środowisku, aby wykluczyć możliwość fałszywego pozytywu.
„Do końca tego projektu przeszukaliśmy niemal 6000 plików C++ i przesłaliśmy łącznie 112 unikalnych raportów, w tym wspomniane luki o wysokim i średnim ryzyku,”
poinformowała firma.
„Większość problemów została naprawiona w Firefoxie 148, a pozostałe zostaną rozwiązane w nadchodzących wydaniach.”
Testy wykrywania exploita
Firma zaznaczyła, że udostępniła modelowi Claude dostęp do całej listy przesłanych luk i zleciła mu opracowanie praktycznego exploita. Mimo przeprowadzenia testów setki razy i wydania około $4000 na kredyty API, Claude Opus 4.6 zdołał przekształcić lukę bezpieczeństwa w exploit tylko w dwóch przypadkach.
Według firmy, takie wyniki ujawniają dwie ważne kwestie: koszt identyfikacji luk jest niższy niż tworzenia exploitów, a model lepiej radzi sobie z wykrywaniem problemów niż z ich wykorzystywaniem.
„Jednak fakt, że Claude zdołał automatycznie opracować prymitywny exploit przeglądarki, nawet w kilku przypadkach, budzi niepokój,”
podkreśliło Anthropic, dodając, że exploity działały jedynie w granicach testowego środowiska, w którym celowo usunięto niektóre funkcje bezpieczeństwa, takie jak sandboxing.
Weryfikacja zadań i debiut Claude Code Security
Ważywym elementem w tym procesie jest weryfikator zadań, który określa, czy exploit faktycznie działa, dając narzędziu informację zwrotną w czasie rzeczywistym podczas eksploracji kodu. Claude stworzył exploita dla CVE-2026-2796 (punkty CVSS: 9.8), który opisano jako błędną kompilację JIT w komponencie JavaScript WebAssembly.
Publikacja informacji na temat luk nastąpiła kilka tygodni po tym, jak firma zaprezentowała Claude Code Security w ograniczonej wersji badawczej, mającej na celu naprawę luk przy użyciu agenta AI.
„Nie możemy zagwarantować, że wszystkie poprawki wygenerowane przez agenta, które przeszły te testy, są wystarczająco dobre, aby je natychmiast wdrożyć,”
zauważyło Anthropic.
„Jednak weryfikatory zadań dają nam większą pewność, że wytworzona poprawka rozwiąże konkretną lukę, zachowując funkcjonalność programu, a zatem osiągnie to, co uważa się za minimalny wymagany standard dla wiarygodnej poprawki.”
Mozilla, w skoordynowanej wiadomości, ogłosiła, że podejście wspomagane przez AI ujawniło 90 innych błędów, z których większość została naprawiona. Obejmowały one błędy asercji, które pokrywały się z problemami tradycyjnie wykrywanymi za pomocą fuzzingu oraz wyraźne klasy błędów logicznych, które umknęły fuzzerom.
„Skala wyników odzwierciedla moc łączenia rygorystycznego inżynierii z nowymi narzędziami analizy w celu ciągłego doskonalenia,”
stwierdził producent przeglądarki.
„Postrzegamy to jako wyraźny dowód na to, że analiza wspomagana przez AI na dużą skalę to potężne nowe narzędzie w arsenale inżynierów zajmujących się bezpieczeństwem.”
