Модель Claude Opus 4.6 обнаружила 14 критических уязвимостей в браузере Firefox. Разбираем, как меняется подход к кибербезопасности и почему поиск багов становится автоматизированным.
3 мин
Компания Anthropic опубликовала результаты совместного проекта с Mozilla, разработчиком браузера Firefox. В ходе эксперимента искусственный интеллект Claude Opus 4.6 использовался для поиска уязвимостей в коде браузера. Результаты оказались впечатляющими: всего за две недели модель обнаружила 22 уязвимости, из которых 14 получили статус высокой степени критичности. Это составляет почти пятую часть всех серьезных уязвимостей Firefox, исправленных за весь предыдущий год. Этот кейс демонстрирует переход от теоретических тестов к реальному применению больших языковых моделей (LLM) в задачах кибербезопасности.
Долгое время способность ИИ находить ошибки в коде проверялась на синтетических тестах, таких как CyberGym. Однако реальные программные продукты, особенно такие сложные и хорошо протестированные, как современные браузеры, представляют собой гораздо более трудную задачу. Firefox используется сотнями миллионов людей, и его код годами шлифуется сообществом разработчиков и экспертов по безопасности.
В конце 2025 года инженеры Anthropic заметили, что их модели стали легко справляться со стандартными тестами. Чтобы проверить реальные возможности ИИ, они решили направить усилия на поиск «уязвимостей нулевого дня» (zero-day) — ошибок, о которых еще никто не знает.
Процесс поиска был построен не просто на чтении кода моделью. Использовалась концепция «верификаторов задач» (task verifiers). Это инструменты, которые позволяют ИИ проверять собственные гипотезы в реальном времени. Например, если модель предполагала наличие ошибки, она писала тест, чтобы подтвердить сбой.
A graph showing how Opus 4.6 was responsible for a substantial increase in the number of Firefox security vulnerabilities detected per month.
Ключевые моменты эксперимента:
Этот эксперимент меняет парадигму взаимодействия между исследователями безопасности и разработчиками (мейнтейнерами). Обычно проверка отчетов о багах занимает у людей много времени. Anthropic предложила новый стандарт: отчет должен содержать не только описание проблемы, но и минимальный тестовый пример, доказывающий ошибку, а также черновой вариант исправления (патча), написанный ИИ.
Для индустрии это сигнал о том, что порог входа в поиск уязвимостей снижается, но требования к качеству отчетов растут. ИИ берет на себя рутинную работу по первичному анализу огромных массивов кода, позволяя людям фокусироваться на архитектурных проблемах и верификации сложных сценариев.
Мы наблюдаем зарождение эры «автономных агентов-патчеров». В будущем процесс обнаружения уязвимости и создания заплатки для нее может сократиться с недель до часов. Mozilla уже начала внедрять инструменты на базе Claude во внутренние процессы безопасности.
Однако остается важный нюанс: хотя ИИ пока плохо справляется с созданием сложных эксплойтов, способных обойти современные защитные механизмы (например, «песочницы» браузеров), этот разрыв будет сокращаться. Гонка между ИИ-защитниками и ИИ-атакующими только начинается, и компаниям критически важно внедрять автоматизированную защиту быстрее, чем злоумышленники освоят автоматизированные атаки.
ИИ перешел от синтетических тестов к реальному поиску угроз: модель Claude нашла 20% годового объема критических уязвимостей Firefox за две недели.
ИИ пока является асимметричным инструментом: он значительно эффективнее помогает защитникам находить дыры в коде, чем хакерам — писать рабочие эксплойты для их использования.
