Współpraca między dużymi firmami technologicznymi a laboratoriami AI weszła właśnie w bardzo konkretną fazę. Anthropic ogłosił, że w ramach wspólnej pracy z Mozillą model Claude Opus 4.6 pomógł wykryć 22 podatności w Firefoksie w ciągu zaledwie dwóch tygodni. Mozilla zaklasyfikowała 14 z nich jako błędy wysokiej wagi, a wszystkie te zgłoszenia przełożyły się na wydanie 22 numerów CVE. To nie jest już pokaz możliwości na slajdach, tylko realna poprawa bezpieczeństwa przeglądarki używanej przez setki milionów osób.
Współpraca Anthropic i Mozilla
Projekt nie przypominał klasycznego audytu, w którym zespół ekspertów ręcznie przeczesuje kod linijka po linijce. Anthropic i Mozilla przetestowały model pracy, w którym AI analizuje złożone zależności w kodzie, generuje minimalne przypadki testowe, przygotowuje opisy problemów, a nawet proponuje poprawki, które następnie weryfikują inżynierowie. Efekt był bardzo namacalny: zespół przeskanował niemal 6 tysięcy plików C++, a do Mozilli trafiło łącznie 112 unikalnych zgłoszeń. Z tej puli 22 okazały się podatnościami bezpieczeństwa, a dodatkowo Anthropic wskazał jeszcze 90 innych błędów, z których większość również została już naprawiona.
Jak skutecznie sztuczna inteligencja znajduje błędy?
Najbardziej wymowny jest początek całej historii. Anthropic podał, że po około 20 minutach eksploracji Claude znalazł pierwszy błąd typu use after free w silniku JavaScript Firefoksa. Gdy badacze ręcznie potwierdzali ten przypadek i przygotowywali zgłoszenie do Bugzilli, model zdążył już znaleźć kolejnych 50 unikalnych danych wejściowych powodujących awarie. To dobrze pokazuje skalę przyspieszenia. Człowiek nadal pozostaje tu kluczowym elementem, ale pracuje już nie z latarką, tylko z reflektorem.
Dlaczego to ważne dla bezpieczeństwa przeglądarki?
Szczególnie istotne jest to, jakie klasy błędów udało się wyłapać. Wśród 14 błędów wysokiej wagi przypisanych zespołowi Anthropic z użyciem Claude znalazły się między innymi use after free w komponentach JavaScript Engine, JIT, IndexedDB, DOM, Audio i Video, a także błędy JIT miscompilation, integer overflow, undefined behavior, incorrect boundary conditions oraz mitigation bypass. Innymi słowy, AI nie ograniczyła się do prostego wykrywania oczywistych awarii. Trafiła również w bardziej subtelne błędy logiczne i problemy na styku wydajności, pamięci oraz kontroli granic danych.
To właśnie dlatego ten przypadek jest tak ważny dla bezpieczeństwa przeglądarki. Firefox należy do najbardziej analizowanych i utwardzanych projektów open source, a mimo to nowa metoda pozwoliła odkryć ponad tuzin poważnych problemów, które wcześniej pozostawały niewidoczne. Mozilla napisała wprost, że w wyniku tej współpracy odkryto 14 błędów wysokiej wagi i wydano 22 CVE, a poprawki trafiły do Firefoksa 148. To oznacza, że użytkownicy dostali nie tylko lepszą stabilność, ale też realnie mocniejszą warstwę ochronną przed atakami wykorzystującymi luki w przeglądarce.
Przyszłość audytu kodu z AI
Wnioski wykraczają daleko poza Firefoksa. Anthropic podkreśla, że Claude jest obecnie znacznie lepszy w znajdowaniu i pomaganiu w naprawie błędów niż w ich praktycznym wykorzystywaniu, co chwilowo daje przewagę obrońcom. Jednocześnie firma ostrzega, że tempo postępu jest szybkie, więc branża nie powinna traktować tego okna bezpieczeństwa jako czegoś trwałego. Dlatego właśnie współpraca z projektami open source, szybkie zgłaszanie podatności, przygotowywanie powtarzalnych dowodów błędów i wspomaganie maintainerów w łataniu kodu stają się tak ważne.
Mozilla już zapowiedziała, że zaczęła integrować analizę wspieraną przez AI ze swoimi wewnętrznymi procesami bezpieczeństwa. To może być sygnał dla całej branży. Nie chodzi o zastąpienie specjalistów, ale o zmianę skali działania. Tam, gdzie wcześniej potrzeba było tygodni ręcznej analizy, dziś można szybciej wychwycić obszary najwyższego ryzyka i skierować wysiłek ludzi dokładnie tam, gdzie jest najbardziej potrzebny.
