Искусственный интеллект от Anthropic выявил 22 уязвимости в Firefox, демонстрируя двойственность ИИ в кибербезопасности
Компания Anthropic, ведущий исследователь искусственного интеллекта, раскрыла информацию об обнаружении 22 ранее неизвестных уязвимостей в веб-браузере Mozilla Firefox. Это открытие стало результатом целенаправленного партнёрства по исследованию безопасности с Mozilla. Уязвимости, выявленные в течение концентрированного двухнедельного периода в январе 2026 года, впоследствии были устранены в выпуске Firefox 148. Распределение по степени серьёзности значительно: 14 изъянов были классифицированы как критические, семь как средние и один как низкий. Примечательно, что, по данным Anthropic, критические ошибки, обнаруженные её моделью ИИ, составили почти пятую часть всех критических уязвимостей, исправленных в Firefox за весь предыдущий 2025 год.
Основой этого исследовательского усилия стала модель Claude Opus 4.6 от Anthropic, сложная большая языковая модель. Компания детализировала возможности ИИ, выделив конкретный случай, когда модель обнаружила критическую ошибку использования памяти после освобождения в движке JavaScript браузера после всего 20 минут автоматизированного исследования. Это первоначальное обнаружение ИИ было затем тщательно проверено исследователями-людьми в контролируемой виртуализированной среде для подтверждения его достоверности и исключения ложных срабатываний. В целом процесс с использованием ИИ включал сканирование примерно 6000 файлов исходного кода на C++, завершившись отправкой 112 уникальных отчётов об ошибках в Mozilla.
В дальнейшей, более провокационной фазе эксперимента Anthropic поставила перед той же моделью Claude иную задачу: разработку эксплойтов. Исследователи предоставили ИИ полный список уязвимостей, отправленных в Mozilla, и поручили создать функциональные эксплойты. Результаты были показательными. После сотен запусков теста стоимостью примерно в 4000 долларов в виде API-кредитов, Claude Opus 4.6 успешно создал практический эксплойт лишь в двух случаях. Этот исход подчёркивает два критических вывода для сообщества кибербезопасности. Во-первых, стоимость и сложность поиска уязвимостей для ИИ в настоящее время намного ниже, чем их превращение в надёжные эксплойты.
Однако Anthropic сопроводила эти выводы суровым предупреждением. Сам факт того, что модель ИИ смогла автономно, без указаний человека, обнаружить и подтвердить столь значительное количество серьёзных уязвимостей, указывает на стремительно меняющийся ландшафт угроз. Технология, которая сегодня служит мощным инструментом для защитников, неизбежно будет адаптирована и усовершенствована злоумышленниками.
Этот случай наглядно иллюстрирует двойственную природу искусственного интеллекта в сфере кибербезопасности. С одной стороны, он предлагает беспрецедентные возможности для упреждающего поиска и устранения изъянов в программном обеспечении. С другой стороны, он же ускоряет гонку вооружений, потенциально снижая барьер для создания вредоносных инструментов. Будущее безопасности, по-видимому, будет определяться непрерывным соревнованием между защитными и наступательными применениями одних и тех же базовых технологий ИИ.
