Anthropic的Claude在两周内发现Firefox 22个漏洞，14例高危敲响安全警钟

关键发现

• 漏洞总数：22处安全缺陷
• 高危等级：14例被标记为“高危”
• 已修复：大部分已在2024年2月发布的Firefox 148中完成修补，剩余少量将在后续版本中解决

研究方法

Anthropic的安全团队在两周内使用Claude Opus 4.6（版本4.6）对Firefox代码库展开审计。工作流程包括：

1. 代码扫描：先从JavaScript引擎入手，利用Claude的自然语言理解能力生成潜在漏洞描述。
2. 扩展覆盖：随后将审计范围扩大到渲染、网络和插件系统等关键模块。
3. 验证与复现：对Claude提出的每条潜在漏洞进行手动验证，确保可重现性。
4. PoC尝试：团队投入约4,000美元的API费用，尝试让Claude生成漏洞利用的概念验证（PoC），最终仅成功两例。

"Claude在发现漏洞方面表现卓越，但在自动生成可利用代码方面仍受限，" Anthropic安全负责人在内部博客中写道。

影响与意义

• AI安全审计的可行性：本次案例证明，大语言模型能够快速定位复杂开源项目中的安全缺陷，显著提升审计效率。
• 成本效益：仅用4,000美元的API费用就完成了对数千行代码的深度检查，远低于传统安全审计的人工成本。
• 开源生态的双刃剑：AI工具的广泛使用可能带来大量误报和不必要的合并请求，但同时也为开源项目提供了前所未有的安全保障。

Mozilla的响应

Mozilla官方对Anthropic的贡献表示感谢，并在博客中确认已在Firefox 148中修复大多数高危漏洞。Mozilla计划在未来的版本中继续与AI安全团队合作，探索更系统的AI驱动审计流程。

展望

随着Claude等大模型在代码理解和安全分析方面的能力不断提升，业界预计会出现更多基于AI的开源安全平台。如何在提升检测效率的同时，防止AI生成的错误代码或恶意利用，将成为下一步的关键课题。