Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 18+
Image

Угроза есть, а инфы нет? Не паникуем, а копаем

Практический гайд по выживанию в SOC, когда стандартные фиды бессильны.

Конец эпохи ручного аудита? Mozilla и Anthropic доказали — ИИ находит ошибки в сотни раз быстрее людей

leer en español

Anthropic Mozilla Firefox Claude Opus 4.6 CVE-2026-2796 браузер уязвимости
Конец эпохи ручного аудита? Mozilla и Anthropic доказали — ИИ находит ошибки в сотни раз быстрее людей
Anthropic Mozilla Firefox Claude Opus 4.6 CVE-2026-2796 браузер уязвимости

Похоже, разработчикам пора искать новые способы оправдывать затянутые сроки.

image

Компания Anthropic сообщила о результатах совместной работы с Mozilla, в рамках которой модель искусственного интеллекта Claude Opus 4.6 помогла найти в браузере Firefox 22 новые уязвимости. История примечательна не только количеством находок, но и тем, что часть дефектов удалось обнаружить за считаные минуты, а сама проверка заняла всего две недели.

Из 22 выявленных проблем 14 получили высокий уровень опасности, семь — средний, ещё одна — низкий. Большую часть уязвимостей уже закрыли в Firefox 148, выпущенном в конце февраля, а оставшиеся исправления Mozilla пообещала включить в следующие версии браузера. В Anthropic уточнили, что за время проверки система проанализировала почти 6 тысяч файлов на C++ и отправила Mozilla 112 уникальных отчётов.

По данным компании, только за 20 минут анализа Claude Opus 4.6 обнаружил ошибку Use-After-Free в JavaScript-компоненте Firefox. После находки проблему отдельно проверил специалист в виртуальной среде, чтобы исключить ложное срабатывание. В Anthropic считают, что модель заметно лучше справляется с поиском слабых мест, чем с созданием рабочих цепочек атак.

Для проверки второй гипотезы разработчики дали Claude доступ ко всему списку уязвимостей, отправленных Mozilla, и поручили попытаться создать рабочие эксплойты. После нескольких сотен запусков и затрат примерно в 4 тысячи долларов на API модель смогла добиться результата лишь в двух случаях. Один из примеров касался CVE-2026-2796 — ошибки JIT-компиляции в компоненте JavaScript WebAssembly с оценкой 9,8 по шкале CVSS.

В компании признали, что даже редкие успешные попытки автоматической подготовки эксплойтов выглядят тревожно. При этом речь шла о тестовой среде, где часть защитных механизмов, включая песочницу, намеренно отключили. Отдельную роль в процессе сыграл механизм проверки задач, который в реальном времени оценивал, сработал ли созданный код, и помогал модели корректировать дальнейшие шаги.

Mozilla в своём сообщении добавила, что подход с использованием ИИ помог выявить ещё 90 ошибок. Большую часть уже устранили. Среди находок оказались как сбои, похожие на результаты традиционного фаззинга, так и логические ошибки, которые такие инструменты обычно пропускают. В Mozilla считают, что масштаб результатов показывает растущую ценность ИИ-анализа как дополнения к обычным методам аудита безопасности.