Claude Opus 4.6 在两周内发现了 22 个 Firefox 漏洞,其中包括传统模糊测试工具未能发现的高危逻辑错误,标志着 AI 驱动的安全研究发生了重大转变。
📝 详细摘要
本文报道了 AI 驱动的网络安全领域的一个重要里程碑:Anthropic 的 Claude Opus 4.6 模型在短短两周内发现了 Firefox 浏览器中的 22 个漏洞。在这些发现中,有 14 个被归类为高危漏洞,占 Firefox 去年修复的所有高危漏洞的近 20%。Anthropic 的前沿红队(Frontier Red Team)与 Mozilla 工程师之间的合作凸显了安全研究的转变,因为该 AI 模型成功识别出了“逻辑错误”——即 JavaScript 引擎推理中复杂的缺陷,而这些缺陷在经过数十年的开发后,传统自动化模糊测试工具仍未能捕捉到。除了单纯的发现漏洞外,该研究还测试了模型将这些缺陷武器化的能力。Claude 成功为特定漏洞生成了可用的利用程序(Exploit),例如 WebAssembly 中的 JIT 编译错误,并利用了“addrof”和“fakeobj”等复杂的利用原语。然而,文章指出了一道关键的防御缓冲:这些利用程序仅在故意禁用了现代安全沙箱的环境中才能发挥作用。Mozilla 已做出回应,将 AI 辅助分析集成到其内部安全工作流程中,并强调 AI 生成的报告需要包含最小测试用例和候选补丁。这些发现突显了软件行业面临的一个紧迫现实:虽然防御者目前通过使用 AI 加固代码库占据了微弱优势,但 AI 在发现漏洞与利用漏洞能力之间的差距正在迅速缩小。
💡 主要观点
- Claude Opus 4.6 在识别复杂的逻辑错误方面表现出了卓越的能力,这些错误是传统自动化模糊测试工具几十年来一直未能发现的。 虽然传统的模糊测试擅长发现内存损坏问题,但 AI 模型能够推理架构意图,从而揭示了 Firefox JavaScript 引擎中那些在多年严格安全审查中幸存下来的深层逻辑缺陷。
💬 文章金句
- Claude 除了发现那些安全关键型漏洞外,还发现了另外 90 个漏洞,其中大部分现已修复。
- 一些发现与传统的模糊测试结果相吻合,但另一些则代表了模糊测试从未捕捉到的全新类别的逻辑错误。
- 前沿语言模型现在已成为世界级的漏洞研究员。
- 前沿模型在漏洞发现和利用能力之间的差距不太可能持续太久。
📊 文章信息
AI 评分:88
来源:InfoQ
作者:Steef-Jan Wiggers
分类:人工智能
语言:英文
阅读时间:4 分钟
字数:753
标签: Claude Opus 4.6, Firefox, 网络安全, 漏洞发现, AI 红队测试