近日,人工智能公司 Anthropic 宣布了一项引人注目的安全研究成果。在与 Mozilla 的合作中,其最新的大语言模型 Claude Opus 4.6 成功识别出 Firefox 浏览器中 22 个全新的安全漏洞。这一成果不仅展现了 AI 在代码审计方面的巨大潜力,更以远超传统检测方法的效率与精准度,为软件安全领域带来了新的思路。
据悉,这 22 个漏洞的严重程度分布明确:其中 14 个被判定为高危(Critical)级别,7 个为中危(Moderate),仅有 1 个属于低危(Low)。所有这些安全隐患均已在本月底发布的 Firefox 148 版本中得到修复。而整个漏洞挖掘过程高效得令人惊讶——仅耗时两周,全程在 2026 年 1 月内完成。
20分钟定位高危漏洞,占全年修复量近五分之一
根据 Anthropic 披露的信息,Claude Opus 4.6 发现的这 14 个高危漏洞,其数量几乎占到了 Firefox 浏览器 2025 年全年修复高危漏洞总数的五分之一,贡献显著。更令人印象深刻的是其发现速度:该模型仅用 20 分钟,就在浏览器的 JavaScript 引擎中发现了一个“释放后重用”(Use-After-Free)漏洞。随后,研究团队在虚拟化环境中对该漏洞进行了验证,成功排除了误报的可能。
在这次深度合作中,Claude Opus 4.6 累计扫描了 Firefox 源代码中近 6000 个 C++ 文件。经过分析,模型最终提交了 112 份独立的漏洞报告,上述高危和中危漏洞均包含在内。Anthropic 表示,绝大部分漏洞已在 Firefox 148 版本中得到修复,剩余的少数漏洞也将在后续版本更新中逐步完善。
AI挖漏洞易,写攻击程序难且成本高
为了进一步测试模型在 安全 攻防链条中的实际能力上限,Anthropic 团队还尝试让 Claude Opus 4.6 利用其发现的漏洞,编写可实际运行的攻击程序(Exploit)。尽管团队为此进行了数百次测试,消耗了约 4000 美元的 API 调用费用,但模型最终仅成功地将两个漏洞转化为了可用的攻击程序。
这一对比鲜明的结果揭示了两个关键结论:首先,利用 AI 识别漏洞的成本,远低于让它自动生成有效的攻击程序。其次,Claude Opus 4.6 在发现漏洞方面的能力,目前显著优于其利用漏洞的能力。不过,Anthropic 也着重强调,即便只有两例成功案例,“AI 能自动生成浏览器攻击程序”这一事实本身,就足以引起业界的高度警惕——需要说明的是,这些攻击程序仅在剥离了沙箱等安全机制的测试环境中被验证有效。
值得一提的是,在此次漏洞利用尝试中,一个被称为“任务验证器”(Task Verifier)的组件发挥了关键作用。它能实时判断生成的攻击程序是否有效,并为模型提供即时反馈,帮助其反复迭代优化,直至生成成功的攻击程序。其中,Claude 针对 CVE-2026-2796 漏洞(CVSS 评分高达 9.8)编写的攻击程序,就属于 JavaScript WebAssembly 组件中的即时编译(JIT)错误漏洞。
AI辅助成安全新工具,Mozilla同步响应
这次大规模的漏洞披露,距离 Anthropic 推出其“Claude Code Security”有限研究预览版仅过去数周。该工具旨在通过 AI 智能体自动修复代码中的安全漏洞。Anthropic 表示,目前尚无法保证 AI 生成的所有补丁都能直接合并到生产代码中,但“任务验证器”的引入能大幅提升补丁的可靠性,确保其在修复漏洞的同时,不会破坏程序的正常功能。
作为合作方,Mozilla 也同步确认,这种 AI 辅助的检测方式还额外发现了另外 90 个漏洞,并且其中大部分已经完成修复。这些漏洞的类型多样,既包括传统模糊测试(Fuzzing)可以发现的断言失败问题,也包含了许多模糊测试难以捕捉的复杂逻辑错误。
Mozilla 对此评价道,此次短时间内发现大量漏洞,印证了严谨的软件工程与新型分析工具相结合所产生的强大力量。这也充分说明,大规模 AI 辅助分析,已经成为现代安全工程师手中一个极具价值的新工具,它正在改变我们防御软件缺陷的方式。
对于关注前沿技术与实践结合的开发者而言,深入探讨此类案例的价值不言而喻。在云栈社区,我们持续分享和探讨人工智能、安全研究及软件开发等领域的最新动态与深度解析,欢迎感兴趣的朋友一同交流学习。
资讯来源:Anthropic 官方公告及 Mozilla 协同声明
| 
发表于 2 小时前
|
查看: 3|
回复: 0
