据《华尔街日报》报道,Anthropic 的 Claude AI 在两周内发现了 22 个 Firefox 漏洞

据《华尔街日报》报道,Anthropic 最先进的 AI 模型在大约 20 分钟内就在 Mozilla 的 Firefox 浏览器中发现了第一个安全漏洞。这一发现促使 Firefox 开发人员迅速做出反应,他们称该漏洞很严重,并要求进行通话以进一步讨论——随后还要求提供更多信息。

AI驱动的大规模漏洞挖掘

根据《华尔街日报》的报道,Anthropic前沿红队与Mozilla的合作使得Claude Opus 4.6在两周时间内发现了Firefox的22个安全漏洞,其中14个被归类为高危漏洞。这些修复程序已随Firefox 148版本推送给数亿用户,Mozilla于2月24日发布该版本,总共包含50多个安全补丁。

Firefox的发现建立在Anthropic 2月初公布的更广泛举措之上,当时披露Claude Opus 4.6在Ghostscript、OpenSC和CGIF等开源软件库中发现了500多个此前未知的高危漏洞。与传统的模糊测试工具向代码随机输入数据不同,Claude以类似人类研究人员的方式阅读和推理代码——检查提交历史以查找部分修复的漏洞,识别高风险函数调用,并构建有针对性的概念验证。

Anthropic前沿红队负责人Logan Graham在2月接受Axios采访时表示:"防御者和攻击者之间存在竞争,我们的目标是尽快为防御者配备工具。"

网络安全领域的变革

Firefox 相关工作体现了 Anthropic 数月来一直在开发的能力的具体应用。当该公司在 2 月 5 日推出 Claude Opus 4.6 时,强调了该模型增强的网络安全能力,并宣布推出六项新的探测机制来检测潜在的滥用行为。两周后,Anthropic 发布了 Claude Code Security,这是一款扫描代码库漏洞并建议修补方案供人工审核的工具,首先面向企业客户和开源维护者开放。

这些发现正值 Anthropic 处于动荡时期,该公司正与特朗普政府就其 AI 系统的军事应用问题陷入争议。本周早些时候,五角大楼将该公司列为供应链风险。

双重用途隐患依然存在

那些帮助防御者的相同能力也带来了风险。Anthropic 在其研究博客中承认,AI 漏洞发现"本质上具有双重用途",并警告称"行业标准的 90 天披露窗口期可能无法应对大语言模型发现漏洞的速度和数量"。该公司已引入实时检测系统来监控滥用行为,但也承认这种方法会给合法的安全研究人员带来不便。