← На главную

ИИ Anthropic за два месяца исправил 423 уязвимости в Firefox

07.05.2026 16:05 · hackernews

Два месяца назад команда разработчиков обнародовала сведения о том, что с помощью моделей искусственного интеллекта от Anthropic и других систем удалось выявить и исправить беспрецедентное количество скрытых уязвимостей в браузере Firefox. Ранее отчёты, сгенерированные ИИ, часто называли «мусором», но ситуация радикально изменилась за несколько месяцев благодаря росту мощностей моделей и улучшению методов их управления. Чтобы продемонстрировать эффективность подхода, команда решила опубликовать небольшой выборочный список дефектов. Учёные зафиксировали множество критических ошибок, включая проблемы с управлением памятью, которые возникают при сложном взаимодействии процессов. Например, одна из уязвимостей позволяла компрометированному контентному процессу манипулировать ссылочными счётами в главном процессе и вызвать утечку из песочницы. Другая находка демонстрирует, как переполнение битового поля в HTML-таблицах может быть использовано для обхода клампирования, а использование функций DNS внутри glibc привело к переполнению буфера во время обработки HTTPS-запросов. Также исправлен баг, связанный с элементом , где условия сборки мусора позволяли инициировать утечку памяти. Большинство из этих ошибок относятся к типу sandbox escapes, однако для полного взлома системы злоумышленнику всё равно потребуются цепочки атак.

Чтобы масштабировать поиск дефектов, команда создала специальный пайплайн, интегрированный в существующую инфраструктуру fuzzing. Система умеет не только находить ошибки, но и автоматически создавать воспроизводимые тест-кейсы для их подтверждения. Изначально эксперименты велись с моделями GPT 4 и Sonnet 3.5, но переход на Claude Opus 4.6 дал впечатляющие результаты, выявив множество неизвестных уязвимостей, требующих глубокого анализа мультипроцессной архитектуры. Позже в релиз вошли исправления на основе новой модели Claude Mythos Preview. Запуск такой системы требует значительной итерации и тесной работы с инженерами, но она окупается: модель способна отсеивать ложные срабатывания и находить реальные проблемы, недоступные традиционным методам. Всего в апреле 2024 года было выпущено обновление, которое устраняет 423 уязвимости. Среди них 180 имеют статус sec-high, что означает высокую опасность при стандартном использовании браузера. Однако наличие уязвимости не гарантирует успешной атаки в реальном мире, так как архитектура Firefox построена по принципу defense-in-depth. Для взлома злоумышленнику нужно связать несколько уязвимостей в единую цепочку, чтобы преодолеть слои защиты песочницы. Текущий подход позволяет быстро закрывать дыры, включая те, которые требуют сложного рассуждения о уровнях доверия кода. Команда считает, что сейчас лучший момент начать внедрять подобные системы аудита. Использование ИИ уже дало заметный результат, и продолжение работы позволит сделать веб-платформу безопаснее. В ближайшие планы входит интеграция анализа непосредственно в процесс непрерывной сборки, что позволит проверять патчи перед их включением в код.

Читать оригинал →