Anthropic 红队助力 Firefox 安全加固:Claude 两周发现 22 个漏洞
在 AI 安全研究领域,一项由 Anthropic 与 Mozilla 的合作项目近期取得了突破性进展。Claude Opus 4.6 模型在短短两周内,从 Firefox 的复杂代码库中独立识别出 22 个安全漏洞,其中 14 个被 Mozilla 评定为高危漏洞——这相当于 2025 年 Firefox 所有已修复高危漏洞的近五分之一。这些漏洞的发现和修复已通过 Firefox 148.0 版本推送给全球数亿用户。
从模型评估到实战合作
这项合作始于 2025 年底,当时 Anthropic 团队注意到 Opus 4.5 在 CyberGym 基准测试中已接近完全解决所有任务。CyberGym 是一个专门测试大语言模型能否复现已知安全漏洞的基准。为了构建更困难、更贴近现实的评估环境,团队决定转向 Firefox 这一目标。
选择 Firefox 并非偶然:它既是代码结构复杂的软件,又是全球测试最充分、最安全的开源项目之一。这使得它成为检验 AI 发现新型安全漏洞能力的“硬骨头”。浏览器漏洞尤其危险,因为数亿用户每天依赖它处理不受信任的内容,其安全性直接关系到用户隐私和数据保护。
技术突破:从复现到发现
合作的第一步是让 Claude 在旧版 Firefox 代码库中寻找历史上已公开的 CVE(常见漏洞与暴露)。结果令人惊讶:Opus 4.6 能够复现其中很高比例的历史漏洞,而这些漏洞当初都需要大量人力才能发现。
但真正的挑战在于:模型能否超越已知漏洞,发现全新的、未知的零日漏洞?为此,Anthropic 与 Mozilla 研究人员紧密合作,建立了一套高效的漏洞报告流程。Mozilla 帮助团队理解哪些类型的发现值得提交正式漏洞报告,并快速验证和修复了这些漏洞。
行业意义与未来展望
这项合作的成功,为 AI 驱动的安全研究者和软件维护者之间的协作提供了可复制的模型。它证明:
- AI 能显著加速高危漏洞的检测速度,在传统人工审计难以覆盖的复杂代码区域发现潜在风险。
- 人机协作是关键:AI 负责大规模、高强度的代码审查和模式识别,人类专家则提供领域知识、验证结果并指导修复。
- 开源与透明合作 能最大化安全效益,尤其是在 Firefox 这样影响广泛的软件上。
随着 AI 模型在代码理解和逻辑推理能力上的持续进步,我们有望看到更多类似合作,将 AI 深度集成到软件开发生命周期中,从源头提升关键基础设施的安全性。这不仅关乎浏览器,也为操作系统、云服务、物联网设备等复杂系统的安全审计开辟了新路径。
