Anthropic的Claude在两周内发现Firefox 22个安全漏洞
在与Mozilla建立的安全合作项目中,Anthropic公司利用其AI模型Claude Opus 4.6,在两周时间内发现Firefox浏览器22个独立安全漏洞,其中14个被分类为“高严重性”。
大部分漏洞已在Firefox 148版本(2026年2月发布)中完成修复,剩余部分将在后续版本中解决。
测试工作始于Firefox的JavaScript引擎,随后扩展至代码库的其他部分。Anthropic团队表示,选择Firefox是因为其“代码库复杂,且是全球最经过测试和最安全的开源项目之一”。
值得注意的是,Claude Opus在漏洞发现方面表现优异,但在构造概念验证(PoC)利用程序时效率较低。团队共消耗4000美元API额度尝试构建利用程序,仅成功两个案例。
该事件表明,AI工具在开源项目安全检测中具有显着潜力,但同时也可能带来大量低质量的代码合并请求,需进行有效筛选和管理。
编辑点评
此次事件凸显了AI在软件安全领域日益增长的作用。通过自动化扫描复杂代码库,AI可大幅提升漏洞发现效率,尤其适用于像Firefox这样规模庞大、结构复杂的开源项目。然而,AI在生成有效利用程序方面仍存在明显局限,这表明当前AI更适合作为辅助工具而非完全替代人类安全工程师。从国际科技竞争角度看,美国科技企业在AI安全应用方面持续领先,其与开源社区的合作模式或成为全球其他科技企业效仿的范本。未来,AI安全检测工具可能成为开源项目标配,但如何平衡效率与质量、防止滥用,将成为国际开源社区面临的新挑战。