newsmode
search
Меню
arrow_back Назад

Partnering with Mozilla to improve Firefox’s security

auto_awesomeКраткое саммари

Anthropic совместно с Mozilla провела масштабное исследование безопасности Firefox с помощью Claude Opus 4.6. За две недели модель обнаружила 22 уязвимости, из которых 14 получили статус высокой степени серьёзности — это почти пятая часть всех критических уязвимостей Firefox, устранённых в 2025 году. Команда просканировала около 6 000 файлов на C++ и подала 112 уникальных отчётов; большинство проблем исправлены в Firefox 148. Помимо поиска уязвимостей, исследователи проверили способность Claude создавать эксплойты: из нескольких сотен попыток модель преуспела лишь в двух случаях и только в упрощённой тестовой среде без песочницы. Anthropic призывает разработчиков использовать текущее преимущество защитников — пока модели значительно лучше находят и исправляют уязвимости, чем эксплуатируют их — и усиливать безопасность своего ПО.

Partnering with Mozilla to improve Firefox’s security

Партнёрство с Mozilla для повышения безопасности Firefox

Partnering with Mozilla to improve Firefox’s security

AI models can now independently identify high-severity vulnerabilities in complex software. As we recently documented, Claude found more than 500 zero-day vulnerabilities (security flaws that are unknown to the software’s maintainers) in well-tested open-source software.

ИИ-модели теперь способны самостоятельно находить уязвимости высокой степени серьёзности в сложном программном обеспечении. Как мы недавно документировали, Claude обнаружил более 500 уязвимостей нулевого дня (дефектов безопасности, неизвестных разработчикам ПО) в хорошо протестированном открытом программном обеспечении.

In this post, we share details of a collaboration with researchers at Mozilla in which Claude Opus 4.6 discovered 22 vulnerabilities over the course of two weeks. Of these, Mozilla assigned 14 as high-severity vulnerabilities—almost a fifth of all high-severity Firefox vulnerabilities that were remediated in 2025. In other words: AI is making it possible to detect severe security vulnerabilities at highly accelerated speeds.

В этой публикации мы делимся подробностями сотрудничества с исследователями Mozilla, в ходе которого Claude Opus 4.6 обнаружил 22 уязвимости за две недели. Из них Mozilla присвоила 14 статус высокой степени серьёзности — почти пятую часть всех критических уязвимостей Firefox, устранённых в 2025 году. Иными словами: ИИ позволяет обнаруживать серьёзные уязвимости безопасности с кардинально возросшей скоростью.

Firefox security vulnerabilities reported from all sources, by month. Claude Opus 4.6 found 22 vulnerabilities in February 2026, more than were reported in any single month in 2025.

As part of this collaboration, Mozilla fielded a large number of reports from us, helped us understand what types of findings warranted submitting a bug report, and shipped fixes to hundreds of millions of users in Firefox 148.0. Their partnership, and the technical lessons we learned, provides a model for how AI-enabled security researchers and maintainers can work together to meet this moment.

В рамках этого сотрудничества Mozilla обработала большое количество наших отчётов, помогла нам понять, какие типы находок заслуживают подачи баг-репорта, и выпустила исправления для сотен миллионов пользователей в Firefox 148.0. Их партнёрство и извлечённые нами технические уроки задают модель того, как ИИ-исследователи безопасности и мейнтейнеры могут работать вместе, чтобы соответствовать вызовам времени.

From model evaluations to a security partnership

От оценки моделей к партнёрству в сфере безопасности

In late 2025, we noticed that Opus 4.5 was close to solving all tasks in CyberGym, a benchmark that tests whether LLMs can reproduce known security vulnerabilities. We wanted to construct a harder and more realistic evaluation that contained a higher concentration of technically complex vulnerabilities, like those present in modern web browsers. So we built a dataset of prior Firefox common vulnerabilities and exposures (CVEs) to see if Claude could reproduce those.

В конце 2025 года мы заметили, что Opus 4.5 близок к решению всех задач в CyberGym — бенчмарке, проверяющем, способны ли LLM воспроизводить известные уязвимости безопасности. Мы хотели создать более сложную и реалистичную оценку с более высокой концентрацией технически сложных уязвимостей, подобных тем, что присутствуют в современных веб-браузерах. Поэтому мы собрали набор данных из ранее зафиксированных CVE Firefox, чтобы проверить, сможет ли Claude их воспроизвести.

We chose Firefox because it’s both a complex codebase and one of the most well-tested and secure open-source projects in the world. This makes it a harder test of AI’s ability to find novel security vulnerabilities than the open-source software we previously used to test our models. Hundreds of millions of users rely on it daily, and browser vulnerabilities are particularly dangerous because users routinely encounter untrusted content and depend on the browser to keep them safe.

Мы выбрали Firefox, потому что это одновременно сложная кодовая база и один из наиболее тщательно протестированных и защищённых проектов с открытым исходным кодом в мире. Это делает его более серьёзным испытанием способностей ИИ в поиске новых уязвимостей, чем открытое ПО, которое мы использовали для тестирования наших моделей ранее. Сотни миллионов пользователей полагаются на него ежедневно, а уязвимости браузеров особенно опасны, поскольку пользователи регулярно сталкиваются с ненадёжным контентом и зависят от браузера в вопросах своей безопасности.

Our first step was to use Claude to find previously identified CVEs in older versions of the Firefox codebase. We were surprised that Opus 4.6 could reproduce a high percentage of these historical CVEs, given that each of them took significant human effort to uncover. But it was still unclear how much we should trust this result because it was possible that at least some of those historical CVEs were already in Claude’s training data.

Первым шагом мы использовали Claude для поиска ранее выявленных CVE в старых версиях кодовой базы Firefox. Мы были удивлены тем, что Opus 4.6 смог воспроизвести высокий процент этих исторических CVE, учитывая, что обнаружение каждой из них потребовало значительных человеческих усилий. Однако оставалось неясным, насколько можно доверять этому результату, поскольку не исключено, что по крайней мере часть этих исторических CVE уже присутствовала в обучающих данных Claude.

So we tasked Claude with finding novel vulnerabilities in the current version of Firefox—bugs that by definition can’t have been reported before. We focused first on Firefox’s JavaScript engine but then expanded to other areas of the browser. The JavaScript engine was a convenient first step: it’s an independent slice of Firefox’s codebase that can be analyzed in isolation, and it’s particularly important to secure, given its wide attack surface (it processes untrusted external code when users browse the web).

Поэтому мы поручили Claude искать новые уязвимости в текущей версии Firefox — баги, которые по определению не могли быть зарегистрированы ранее. Сначала мы сосредоточились на JavaScript-движке Firefox, а затем расширили поиск на другие области браузера. JavaScript-движок стал удобной отправной точкой: это независимый фрагмент кодовой базы Firefox, который можно анализировать изолированно, и его особенно важно защищать, учитывая широкую поверхность атаки (он обрабатывает ненадёжный внешний код, когда пользователи просматривают веб-страницы).

After just twenty minutes of exploration, Claude Opus 4.6 reported that it had identified a Use After Free (a type of memory vulnerability that could allow attackers to overwrite data with arbitrary malicious content) in the JavaScript engine. One of our researchers validated this bug in an independent virtual machine with the latest Firefox release, then forwarded it to two other Anthropic researchers, who also validated the bug. We then filed a bug report in Bugzilla, Mozilla’s issue tracker, along with a description of the vulnerability and a proposed patch (written by Claude and validated by the reporting team) to help triage the root cause.

Всего через двадцать минут исследования Claude Opus 4.6 сообщил, что обнаружил Use After Free (тип уязвимости памяти, позволяющий злоумышленникам перезаписывать данные произвольным вредоносным содержимым) в JavaScript-движке. Один из наших исследователей подтвердил этот баг в независимой виртуальной машине с последним релизом Firefox, затем передал его двум другим исследователям Anthropic, которые также подтвердили баг. Далее мы подали баг-репорт в Bugzilla, трекер задач Mozilla, с описанием уязвимости и предложенным патчем (написанным Claude и валидированным командой отчётности) для помощи в триаже первопричины.

In the time it took us to validate and submit this first vulnerability to Firefox, Claude had already discovered fifty more unique crashing inputs. While we were triaging these crashes, a researcher from Mozilla reached out to us. After a technical discussion about our respective processes and sharing a few more vulnerabilities we had manually validated, they encouraged us to submit all of our findings in bulk without validating each one, even if we weren’t confident that all of the crashing test cases had security implications. By the end of this effort, we had scanned nearly 6,000 C++ files and submitted a total of 112 unique reports, including the high- and moderate-severity vulnerabilities mentioned above. Most issues have been fixed in Firefox 148, with the remainder to be fixed in upcoming releases.

За время, пока мы валидировали и отправляли эту первую уязвимость в Firefox, Claude уже обнаружил ещё пятьдесят уникальных входных данных, вызывающих сбои. Пока мы проводили триаж этих сбоев, с нами связался исследователь из Mozilla. После технического обсуждения наших соответствующих процессов и передачи ещё нескольких уязвимостей, которые мы вручную подтвердили, они предложили нам отправлять все находки массово, без валидации каждой, даже если мы не были уверены, что все вызывающие сбой тестовые случаи имеют последствия для безопасности. К завершению этой работы мы просканировали почти 6 000 файлов на C++ и подали в общей сложности 112 уникальных отчётов, включая уязвимости высокой и средней степени серьёзности, упомянутые выше. Большинство проблем исправлены в Firefox 148, оставшиеся будут исправлены в предстоящих релизах.

When doing this kind of bug hunting in external software, we’re always conscious of the fact that we may have missed something critical about the codebase that would make the discovery a false positive. We try to do the due diligence of validating the bugs ourselves, but there’s always room for error. We are extremely appreciative of Mozilla for being so transparent about their triage process, and for helping us adjust our approach to ensure we only submitted test cases they cared about (even if not all of them ended up being relevant to security). Mozilla researchers have since started experimenting with Claude for security purposes internally.

При проведении подобного поиска багов во внешнем ПО мы всегда осознаём, что могли упустить нечто критичное в кодовой базе, что сделало бы находку ложноположительной. Мы стараемся проявлять должную осмотрительность и валидировать баги самостоятельно, но всегда есть место для ошибки. Мы чрезвычайно признательны Mozilla за прозрачность их процесса триажа и за помощь в корректировке нашего подхода, чтобы мы отправляли только те тестовые случаи, которые их интересовали (даже если не все из них в итоге оказались релевантны для безопасности). Исследователи Mozilla с тех пор начали самостоятельно экспериментировать с Claude в целях безопасности.

From identifying vulnerabilities to writing primitive exploits

От обнаружения уязвимостей к написанию примитивных эксплойтов

To measure the upper limits of Claude’s cybersecurity abilities, we also developed a new evaluation to determine whether Claude was able to exploit any of the bugs we discovered. In other words, we wanted to understand whether Claude could also develop the sorts of tools that a hacker would use to take advantage of these bugs to execute malicious code.

Чтобы оценить верхние пределы способностей Claude в кибербезопасности, мы также разработали новую оценку, позволяющую определить, способен ли Claude эксплуатировать какие-либо из обнаруженных нами багов. Иными словами, мы хотели понять, может ли Claude также создавать инструменты, которые хакер использовал бы для эксплуатации этих багов и выполнения вредоносного кода.

To do this, we gave Claude access to the vulnerabilities we’d submitted to Mozilla and asked Claude to create an exploit focusing on each one. To prove it had successfully exploited a vulnerability, we asked Claude to demonstrate a real attack. Specifically, we required it to read and write a local file in a target system, as an attacker would.

Для этого мы предоставили Claude доступ к уязвимостям, которые мы отправили в Mozilla, и попросили его создать эксплойт для каждой из них. Чтобы доказать успешную эксплуатацию уязвимости, мы попросили Claude продемонстрировать реальную атаку. В частности, мы требовали, чтобы он прочитал и записал локальный файл в целевой системе, как это сделал бы злоумышленник.

We ran this test several hundred times with different starting points, spending approximately $4,000 in API credits. Despite this, Opus 4.6 was only able to actually turn the vulnerability into an exploit in two cases. This tells us two things. One, Claude is much better at finding these bugs than it is at exploiting them. Two, the cost of identifying vulnerabilities is an order of magnitude cheaper than creating an exploit for them. However, the fact that Claude could succeed at automatically developing a crude browser exploit, even if only in a few cases, is concerning.

Мы проводили этот тест несколько сотен раз с разными начальными условиями, потратив примерно $4 000 на API-кредиты. Несмотря на это, Opus 4.6 смог превратить уязвимость в рабочий эксплойт лишь в двух случаях. Это говорит нам о двух вещах. Во-первых, Claude значительно лучше находит эти баги, чем эксплуатирует их. Во-вторых, стоимость обнаружения уязвимостей на порядок ниже стоимости создания эксплойта для них. Тем не менее сам факт того, что Claude смог автоматически разработать грубый браузерный эксплойт, пусть и лишь в нескольких случаях, вызывает беспокойство.

“Crude” is an important caveat here. The exploits Claude wrote only worked on our testing environment, which intentionally removed some of the security features found in modern browsers. This includes, most importantly, the sandbox, the purpose of which is to reduce the impact of these types of vulnerabilities. Thus, Firefox’s “defense in depth” would have been effective at mitigating these particular exploits. But vulnerabilities that escape the sandbox are not unheard of, and Claude’s attack is one necessary component of an end-to-end exploit. You can read more about how Claude developed one of these Firefox exploits on our Frontier Red Team blog.

«Грубый» — важная оговорка. Эксплойты, написанные Claude, работали только в нашей тестовой среде, из которой намеренно были удалены некоторые средства защиты, присутствующие в современных браузерах. В первую очередь это касается песочницы, задача которой — снизить последствия подобных уязвимостей. Таким образом, «эшелонированная защита» Firefox была бы эффективна против этих конкретных эксплойтов. Но уязвимости, позволяющие выйти за пределы песочницы, не являются чем-то неслыханным, а атака Claude — это один из необходимых компонентов комплексного эксплойта. Подробнее о том, как Claude разработал один из этих эксплойтов для Firefox, можно прочитать в нашем блоге Frontier Red Team.

What's next for AI-enabled cybersecurity

Будущее ИИ-кибербезопасности

These early signs of AI-enabled exploit development underscore the importance of accelerating the find-and-fix process for defenders. Towards that end, we want to share a few technical and procedural best practices we’ve found while performing this analysis.

Эти ранние признаки разработки эксплойтов с помощью ИИ подчёркивают важность ускорения процесса обнаружения и исправления уязвимостей для защитников. С этой целью мы хотим поделиться несколькими техническими и процедурными лучшими практиками, которые мы выработали в ходе этого анализа.

First, when researching “patching agents,” which use LLMs to develop and validate bug fixes, we have developed a few methods we hope will help maintainers use LLMs like Claude to triage and address security reports faster.1

Во-первых, исследуя «агенты патчинга», использующие LLM для разработки и валидации исправлений багов, мы выработали ряд методов, которые, как мы надеемся, помогут мейнтейнерам использовать LLM вроде Claude для более быстрого триажа и обработки отчётов о безопасности.1

In our experience, Claude works best when it's able to check its own work with another tool. We refer to this class of tool as a “task verifier”: a trusted method of confirming whether an AI agent’s output actually achieves its goal. Task verifiers give the agent real-time feedback as it explores a codebase, allowing it to iterate deeply until it succeeds.

По нашему опыту, Claude работает лучше всего, когда у него есть возможность проверять собственную работу с помощью другого инструмента. Мы называем этот класс инструментов «верификатором задач»: доверенный метод подтверждения того, что результат работы ИИ-агента действительно достигает поставленной цели. Верификаторы задач обеспечивают агенту обратную связь в реальном времени по мере исследования кодовой базы, позволяя ему углублённо итерировать до достижения успеха.

Task verifiers helped us discover the Firefox vulnerabilities described above,2 and in separate research, we’ve found that they’re also useful for fixing bugs. A good patching agent needs to verify at least two things: that the vulnerability has actually been removed, and that the program’s intended functionality has been preserved. In our work, we built tools that automatically tested whether the original bug could still be triggered after a proposed fix, and separately ran test suites to catch regressions (a change that accidentally breaks something else). We expect maintainers will know best how to build these verifiers for their own codebases; the key point is that giving the agent a reliable way to check both of these properties dramatically improves the quality of its output.

Верификаторы задач помогли нам обнаружить описанные выше уязвимости Firefox,2 а в отдельных исследованиях мы выяснили, что они также полезны для исправления багов. Хороший агент патчинга должен верифицировать как минимум две вещи: что уязвимость действительно устранена и что штатная функциональность программы сохранена. В нашей работе мы создали инструменты, которые автоматически проверяли, можно ли по-прежнему воспроизвести исходный баг после предложенного исправления, и отдельно запускали тестовые наборы для выявления регрессий (изменений, случайно ломающих что-то ещё). Мы полагаем, что мейнтейнеры лучше всего знают, как создавать такие верификаторы для своих кодовых баз; ключевой вывод в том, что предоставление агенту надёжного способа проверки обоих этих свойств кардинально улучшает качество его результатов.

We can’t guarantee that all agent-generated patches that pass these tests are good enough to merge immediately. But task verifiers give us increased confidence that the produced patch will fix the specific vulnerability while preserving program functionality—and therefore achieve what’s considered to be the minimum requirement for a plausible patch. Of course, when reviewing AI-authored patches, we recommend that maintainers apply the same scrutiny they’d apply to any other patch created by an external author.

Мы не можем гарантировать, что все сгенерированные агентом патчи, прошедшие эти тесты, достаточно хороши для немедленного мёржа. Однако верификаторы задач повышают нашу уверенность в том, что созданный патч устранит конкретную уязвимость, сохранив функциональность программы, — и тем самым достигнет того, что считается минимальным требованием для правдоподобного патча. Разумеется, при рецензировании патчей, написанных ИИ, мы рекомендуем мейнтейнерам применять ту же тщательность проверки, что и к любому другому патчу от внешнего автора.

Zooming out to the process of submitting bugs and patches: we know that maintainers are underwater. Therefore, our approach is to give maintainers the information they need to trust and verify reports. The Firefox team highlighted three components of our submissions that were key for trusting our results:

Если рассматривать процесс подачи багов и патчей в более широком контексте: мы знаем, что мейнтейнеры перегружены. Поэтому наш подход заключается в том, чтобы предоставить мейнтейнерам информацию, необходимую для доверия к отчётам и их верификации. Команда Firefox выделила три компонента наших подач, которые были ключевыми для доверия к нашим результатам:

  • Accompanying minimal test cases
  • Detailed proofs-of-concept
  • Candidate patches
  • Сопроводительные минимальные тестовые случаиПодробные доказательства концепции (proof-of-concept)Кандидаты на патчи

    We strongly encourage researchers who use LLM-powered vulnerability research tools to include similar evidence of verification and reproducibility when submitting reports based on the output of such tooling.

    Мы настоятельно рекомендуем исследователям, использующим инструменты поиска уязвимостей на основе LLM, прилагать аналогичные свидетельства верификации и воспроизводимости при подаче отчётов, основанных на результатах работы таких инструментов.

    We’ve also published our Coordinated Vulnerability Disclosure operating principles, where we describe the procedures we will use when working with maintainers. Our processes here follow standard industry norms for the time being, but as models improve we may need to adjust our processes to keep pace with capabilities.

    Мы также опубликовали наши принципы координированного раскрытия уязвимостей, где описываем процедуры, которые мы будем использовать при работе с мейнтейнерами. На данный момент наши процессы следуют стандартным отраслевым нормам, но по мере совершенствования моделей нам, возможно, придётся корректировать свои процессы, чтобы соответствовать растущим возможностям.

    The urgency of the moment

    Острота момента

    Frontier language models are now world-class vulnerability researchers. On top of the 22 CVEs we identified in Firefox, we’ve used Claude Opus 4.6 to discover vulnerabilities in other important software projects like the Linux kernel. Over the coming weeks and months, we will continue to report on how we’re using our models and working with the open-source community to improve security.

    Передовые языковые модели теперь являются исследователями уязвимостей мирового класса. Помимо 22 CVE, обнаруженных в Firefox, мы использовали Claude Opus 4.6 для выявления уязвимостей в других важных программных проектах, таких как ядро Linux. В ближайшие недели и месяцы мы продолжим рассказывать о том, как мы используем наши модели и работаем с сообществом открытого исходного кода для повышения безопасности.

    Opus 4.6 is currently far better at identifying and fixing vulnerabilities than at exploiting them. This gives defenders the advantage. And with the recent release of Claude Code Security in limited research preview, we’re bringing vulnerability-discovery (and patching) capabilities directly to customers and open-source maintainers.

    Opus 4.6 в настоящее время значительно лучше справляется с обнаружением и исправлением уязвимостей, чем с их эксплуатацией. Это даёт преимущество защитникам. А с недавним запуском Claude Code Security в ограниченном исследовательском превью мы предоставляем возможности обнаружения уязвимостей (и их исправления) непосредственно клиентам и мейнтейнерам открытого ПО.

    But looking at the rate of progress, it is unlikely that the gap between frontier models’ vulnerability discovery and exploitation abilities will last very long. If and when future language models break through this exploitation barrier, we will need to consider additional safeguards or other actions to prevent our models from being misused by malicious actors.

    Однако, глядя на темпы прогресса, маловероятно, что разрыв между способностями передовых моделей к обнаружению и эксплуатации уязвимостей сохранится надолго. Если и когда будущие языковые модели преодолеют этот барьер эксплуатации, нам потребуется рассмотреть дополнительные меры защиты или другие действия для предотвращения злонамеренного использования наших моделей.

    We urge developers to take advantage of this window to redouble their efforts to make their software more secure. For our part, we plan to significantly expand our cybersecurity efforts, including by working with developers to search for vulnerabilities (following the CVD process outlined above), developing tools to help maintainers triage bug reports, and directly proposing patches.

    Мы призываем разработчиков воспользоваться этим окном возможностей и удвоить усилия по повышению безопасности своего ПО. Со своей стороны, мы планируем значительно расширить наши усилия в области кибербезопасности, в том числе за счёт работы с разработчиками по поиску уязвимостей (в рамках описанного выше процесса CVD), создания инструментов для помощи мейнтейнерам в триаже баг-репортов и прямого предложения патчей.

    If you’re interested in supporting our security efforts—writing new scaffolds to identify vulnerabilities in open-source software; triaging, patching, and reporting vulnerabilities; and developing a robust CVD process for the AI era—apply to work at Anthropic here.

    Если вы заинтересованы в поддержке наших усилий в области безопасности — написании новых инструментов для обнаружения уязвимостей в ПО с открытым исходным кодом; триаже, патчинге и отчётности по уязвимостям; а также разработке надёжного процесса CVD для эры ИИ — подайте заявку на работу в Anthropic здесь.

    Footnotes

    Примечания

  • All the advice shared here is based on our use of Claude, but it should apply to whichever LLM you prefer.
  • Which Mozilla patched independently.
  • Все рекомендации, изложенные здесь, основаны на нашем опыте использования Claude, но должны быть применимы к любой предпочитаемой вами LLM.Которые Mozilla исправила самостоятельно.

    Related content

    Связанные материалы

    PwC is deploying Claude to build technology, execute deals, and reinvent enterprise functions for clients

    PwC развёртывает Claude для создания технологий, проведения сделок и трансформации корпоративных функций для клиентов

    PwC will roll out Claude Code and Cowork starting with U.S. teams and expanding toward a global workforce of hundreds of thousands of professionals, establish a joint Center of Excellence, and train and certify 30,000 PwC professionals on Claude.

    PwC развернёт Claude Code и Cowork, начиная с команд в США и расширяясь на глобальный штат из сотен тысяч специалистов, создаст совместный Центр компетенций и обучит и сертифицирует 30 000 специалистов PwC по работе с Claude.

    Anthropic forms $200 million partnership with the Gates Foundation

    Anthropic заключает партнёрство на $200 миллионов с Gates Foundation

    Introducing Claude for Small Business

    Представляем Claude для малого бизнеса

    We're launching Claude for Small Business, a package of connectors and ready-to-run workflows that put Claude inside the tools small businesses use every day.

    Мы запускаем Claude для малого бизнеса — набор коннекторов и готовых рабочих процессов, которые интегрируют Claude в инструменты, используемые малым бизнесом каждый день.

    Subscribe to the Frontier Red Team newsletter

    Подпишитесь на рассылку Frontier Red Team

    Get updates on our latest red-teaming research and findings.

    Получайте обновления о наших последних исследованиях и результатах red-teaming.