Claude AI两周内帮Mozilla揪出逾百个Firefox漏洞 含14个高危缺陷

据介绍，此次合作由 Anthropic 的 Frontier Red Team 率先发起，对方在几周前携一套新开发的 AI 辅助“挖洞”方法联系 Mozilla，并给出了在 Firefox 上的初步测试结果。Mozilla 称，这一方法在实际验证中效果显著，有望在更大范围内提升 Firefox 用户的整体安全性。

在技术层面，Anthropic 团队将目标锁定在 Firefox 的 JavaScript 引擎上。一方面，Firefox 作为开源浏览器，“红熊猫”（Red Panda）的代码库广泛使用、长期被深入审查，非常适合作为测试新分析技术的对象；另一方面，JS 引擎本身也是浏览器最关键、最复杂、最容易成为攻击入口的组件之一。AI 系统不仅在引擎中挖掘出了多个安全缺陷，还能自动生成最小化测试样例，帮助 Firefox 开发者快速复现问题，加速修复流程。

综合这轮测试结果，开发团队确认了 14 个高严重度的安全漏洞，并据此登记了 22 条 CVE 记录；与此同时，AI 还挖出约 90 个优先级较低的缺陷，目前这些问题也已经陆续得到修复。Mozilla 表示，这些成果已经全部合入最新发布的 Firefox 148.0 版本中，用户更新浏览器即可获得相应防护。

Mozilla 特别强调，Anthropic 的 AI 报告模式与近期饱受诟病的“AI 抄作业挖漏洞”截然不同。此前包括 curl 在内的一些大型开源项目，不得不公开劝退甚至禁止未经核查的 AI 生成漏洞报告，因为它们往往质量低劣、充满“幻觉”，只是部分用户为蹭漏洞奖励而批量提交的噪音。相比之下，此次 Claude AI 的输出质量高，可复现性强，减少了维护者在筛选垃圾报告上的负担。

从漏洞类型看，本次借助 Anthropic 方法发现的许多问题，本应也可以通过传统模糊测试（fuzzing）等自动化手段挖掘——这类技术通过向软件注入大量异常输入，观察是否产生崩溃或异常行为。然而，Mozilla 指出，AI 模型还成功找到了若干“逻辑漏洞”类别，这类问题往往难以被单纯依赖随机输入的 fuzzing 命中，说明大型模型在理解程序逻辑、构造更有针对性的测试场景方面具备优势。

在亲自“吃到效果”之后，Mozilla 计划将这套 AI 辅助方法进一步融入自身更广泛的安全与开发工作流中。该组织预期，随着 Anthropic 的 Claude 系列以及其他先进 AI 系统的持续演进，它们在未来有望帮助 Firefox 挖出更多潜在问题，为浏览器用户提供更强的防护层。

Mozilla 还表示，如果这类方法在规模化应用上继续证明可行，不仅 Firefox，本轮尝试中验证有效的技术也有机会推广到其他流行开源项目中使用。在传统 fuzzing 与既有工具已经接近“天花板”的代码库里，引入 AI 可能成为突破口，帮助社区发掘大量此前被视为“几乎不可发现”的深层漏洞。

当前，Mozilla 已在 Firefox 148 中加入了备受关注的 AI 开关选项，允许用户更精细地控制浏览器中的 AI 功能，同时在底层借助 AI 加固安全，这也体现了其在 AI 时代同时重视用户控制权与安全性的策略布局。