Anthropic 的 Claude 在两周内发现 Firefox 22 个漏洞
在最近与 Mozilla 的安全合作中,Anthropic 使用其 AI 模型 Claude Opus 4.6 在 Firefox 浏览器中发现了 22 个独立漏洞,其中 14 个被归类为“高严重性”。这一发现不仅展示了 AI 在代码审计领域的强大潜力,也引发了关于 AI 工具在开源安全中角色和局限性的深度讨论。
合作背景与发现详情
Anthropic 团队在为期两周的测试中,从 JavaScript 引擎入手,逐步扩展到 Firefox 代码库的其他部分。Firefox 被选为目标,是因为它既是一个复杂的代码库,也是全球最经过充分测试和安全的开源项目之一。这一选择凸显了 AI 工具在挑战高难度任务时的能力边界。
发现的 22 个漏洞中,大部分已在 Firefox 148(今年 2 月发布的版本)中修复,少数修复将推迟到下一个版本。这体现了 Mozilla 对安全问题的快速响应机制,也显示了 AI 辅助审计能有效加速漏洞修复流程。
AI 能力的优势与局限
值得注意的是,Claude Opus 在发现漏洞方面表现出色,但在编写利用这些漏洞的软件(即概念验证攻击代码)时却效率较低。团队花费了 4,000 美元的 API 积分 尝试构建攻击代码,但仅成功了两例。这一对比揭示了当前 AI 模型的特性:它们擅长模式识别和代码分析,但在创造性或恶意任务上仍受限于训练数据和伦理约束。
对开源安全的影响
这一事件提醒我们,AI 工具能为开源项目带来巨大价值,尤其是在自动化安全审计方面。它们可以快速扫描庞大代码库,发现人类可能忽略的潜在风险。然而,这也可能带来副作用,如大量低质量或无效的合并请求,增加维护者的审核负担。
行业意义与未来展望
Anthropic 与 Mozilla 的合作是 AI 与开源社区协同的一个典型案例。随着 AI 技术成熟,类似合作可能成为常态,帮助提升软件安全标准。但同时,行业需平衡自动化工具的使用与人工监督,确保安全审计的准确性和伦理合规性。
总的来说,这次漏洞发现不仅是一次技术展示,更是一次关于 AI 在网络安全中实际应用的深度探索。它预示着未来 AI 将在代码审计领域扮演更关键角色,但人类专家的判断和干预仍不可或缺。