Claude AI 两周内帮 Mozilla 发现 100+ 个 Firefox 漏洞，其中 14 个为高危

Mozilla 基金会近日披露，其与 Anthropic 展开合作，通过 Claude AI 辅助漏洞挖掘方法，在短短两周内从 Firefox 浏览器中发现 100 多个安全与稳定性问题，其中 14 个被认定为高危漏洞。

这些高危漏洞已被分配 22 个独立的 CVE 编号，并在最新发布的 Firefox 148.0 版本中完成修复。

两周发现 100+ 个漏洞

此次合作最初由 Anthropic Frontier Red Team 发起。

几周前，该团队联系 Mozilla，展示了一套新开发的 AI 辅助漏洞挖掘方法，并提供了在 Firefox 上的初步测试结果。

Mozilla 表示：

• AI 方法在实际验证中 效果非常显著
• 有望进一步提升 Firefox 用户整体安全性

AI 重点分析 Firefox JavaScript 引擎

在技术层面，本次漏洞挖掘主要针对 Firefox 的 JavaScript 引擎。

选择这一组件主要有两个原因：

1. Firefox 是开源浏览器
   代码库长期接受社区审查，非常适合作为新分析技术的测试对象。

2. JavaScript 引擎是浏览器最复杂组件之一
   同时也是最容易成为攻击入口的关键模块。

Claude AI 不仅发现了多个漏洞，还能够：

• 自动生成 最小化测试样例
• 帮助开发者 快速复现问题
• 加快漏洞修复流程

14 个高危漏洞、22 个 CVE

根据 Mozilla 公布的数据：

所有漏洞目前已经在 Firefox 148.0 中修复，用户更新浏览器即可获得保护。

与“AI 挖漏洞噪音”形成对比

Mozilla 特别强调，这次 AI 报告与近年来饱受争议的 AI 生成漏洞报告截然不同。

此前一些开源项目（例如 curl）曾抱怨：

• AI 自动生成大量漏洞报告
• 报告质量低
• 充满“AI 幻觉”
• 部分用户借此刷漏洞奖励

因此部分项目甚至 禁止 AI 生成漏洞报告。

Mozilla 表示，Anthropic 的方法：

• 输出质量高
• 结果可复现
• 减少了维护者筛选垃圾报告的负担

AI 找到传统工具难以发现的漏洞

许多漏洞理论上也可以通过 模糊测试（Fuzzing） 发现。

Fuzzing 的原理是：

• 向程序输入大量异常数据
• 观察程序是否崩溃或异常

不过 Mozilla 指出：

Claude AI 还发现了一些 逻辑漏洞（Logic Bugs）。

这类问题通常：

• 不容易通过随机输入触发
• 需要理解程序逻辑
• 构造针对性的测试场景

这显示出大型语言模型在 代码理解与漏洞推理方面的潜力。

Mozilla 计划将 AI 纳入安全流程

在验证效果之后，Mozilla 计划将这套 AI 辅助漏洞挖掘方法进一步整合进自身开发流程。

未来 AI 可能被用于：

• 代码审计
• 漏洞挖掘
• 自动化测试
• 安全分析

Mozilla 认为，随着 AI 模型能力不断提升，它们可能帮助发现更多 传统工具难以定位的深层漏洞。

Firefox 148 同时加入 AI 控制开关

值得注意的是，Firefox 148 版本还加入了 AI 功能控制开关，允许用户更细致地管理浏览器中的 AI 功能。

Mozilla 表示，这一设计体现了其策略：

• 一方面 利用 AI 提升安全性
• 另一方面 确保用户拥有控制权

随着 AI 技术进入软件开发与安全领域，这类 AI 辅助代码审计方法可能逐渐成为开源社区的新工具。