Anthropic и Mozilla объявили о результатах совместного эксперимента: Claude Opus 4.6 за две недели проанализировал кодовую базу Firefox и подал 112 отчётов об ошибках. После проверки 22 из них получили статус CVE — официально зафиксированных уязвимостей. Из этих 22 — 14 Mozilla признала высококритическими.
Для сравнения: эти 14 уязвимостей составляют около 20% от всех серьёзных багов Firefox, исправленных за весь 2025 год. Модель нашла их за две недели.
Работа велась с примерно 6000 файлов на C++. Команда сфокусировалась на JavaScript-движке — исторически самой атакуемой части браузера. Первую уязвимость класса Use-After-Free (когда программа обращается к уже освобождённой памяти) модель обнаружила через 20 минут после старта.
Ключевое отличие от обычного AI-сканирования: Anthropic присылал не просто флаги, а полные пакеты — минимальный тест-кейс для воспроизведения, подробное доказательство концепции и патч с исправлением. Инженеры Mozilla смогли приступить к устранению уязвимостей в течение нескольких часов.
Отдельно проверяли, может ли модель сама эксплуатировать найденные баги. Потратили около 4000 долларов API-кредитов и сотни попыток — рабочий эксплойт получили только в двух случаях. Причём оба работали лишь при намеренно отключённых защитных механизмах современного браузера.
Это принципиальный результат: AI хорошо находит и описывает уязвимости, но превратить их в оружие пока не может. Защитники получают инструмент раньше, чем атакующие.
Mozilla уже начала встраивать AI-анализ в свой внутренний security-процесс. Anthropic и Mozilla планируют развивать практику «task validator» — когда модель сама перепроверяет свои находки перед отправкой разработчикам.
