Модель Claude Mythos Preview от Anthropic нашла 271 ранее неизвестную уязвимость в Firefox 150. Среди них — баги возрастом до 20 лет, о которых никто не знал.
Для сравнения: в марте 2026 года Mozilla закрыла рекордные 76 проблем безопасности. В апреле — 423. Разница в пять раз. Больше половины из них нашёл именно Mythos Preview, ещё треть оставшихся — тоже он, но в рамках других прогонов.
Раньше ИИ-модели уже пробовали использовать для поиска уязвимостей — GPT-4 и Claude Sonnet 3.5 работали в режиме «только чтение кода». Провалились: слишком много ложных срабатываний. Разработчики тратили время на проверку несуществующих багов.
Прорыв случился, когда модель получила возможность действовать как агент: писать тест, запускать его и самостоятельно проверять, существует ли баг на самом деле. Это отсекает догадки — остаются только воспроизводимые находки.
Mozilla запустила процесс на множестве виртуальных машин параллельно: каждая проверяет один файл. Конвейер автоматически убирает дубли, расставляет приоритеты и отслеживает исправления до самого релиза.
Среди находок — пятнадцатилетний баг в HTML-элементе label, используемом в описаниях форм. HTML-таблица с более чем 65 535 строками переполняла внутренний счётчик — классическая ошибка целочисленного переполнения. Обнаружены способы побега из «песочницы» — механизма изоляции сайтов от системы. Взломана даже RLBox, дополнительная песочница Mozilla для сторонних библиотек. Один из багов в XML-инструменте XSLT существовал 20 лет.
Не менее ценным оказалось то, что ИИ не смог взломать. Несколько атак через технику Prototype Pollution — метод, который раньше действительно позволял вырваться из песочницы — провалились. Причина: архитектурное решение, принятое Mozilla много лет назад. Для команды это прямое подтверждение того, что их защита от Prototype Pollution по-прежнему работает, — результат не менее ценный, чем новые баги.
Следующий шаг: Mozilla интегрирует конвейер в процесс разработки. Каждый новый кусок кода будет автоматически проверяться перед коммитом.
