機(jī)器之心編輯部

近日，Anthropic 公布了一組驚人的數(shù)字，在與 Mozilla 公司進(jìn)行合作，測試旗下模型 Claude Opus 4.6 發(fā)現(xiàn)漏洞能力的過程中，兩周內(nèi)，就找出 Mozilla 公司「火狐」（Firefox）瀏覽器中 22 個不同的漏洞，其中 14 個是「高危漏洞」級別，而這幾乎是 Mozilla 2025 年修復(fù)的全部「高危漏洞」的五分之一。

換句話說：AI 正以極快的速度幫助人類檢測出嚴(yán)重的安全漏洞。

此消息一出，引起網(wǎng)友熱議。

網(wǎng)友 sunxiayi 認(rèn)為，Claude 能夠在兩周內(nèi)發(fā)現(xiàn)如此多數(shù)量的漏洞真是「瘋狂」，「這基本上相當(dāng)于整個安全團(tuán)隊的季度工作�！�

而在 AI 如何瘋狂、高效的工作能力面前，人類安全工程師似乎在失去競爭優(yōu)勢。

網(wǎng)友則認(rèn)為，Claude 的這一戰(zhàn)績無疑是在表明，當(dāng)下大家正在經(jīng)歷從「AI 輔助編程」到「AI 從根本上改變安全研究運作方式」的轉(zhuǎn)變。而這種規(guī)模的自動化漏洞能力，也就意味著，每一個代碼庫在 AI 掃描面前都將變得「透明」。

同樣，也有網(wǎng)友表示擔(dān)憂，短時間內(nèi)能夠找到安全漏洞固然讓人印象深刻，但更令人擔(dān)憂的是，「這對進(jìn)攻端意味著什么？」如果一個模型能在如此短的時間內(nèi)發(fā)現(xiàn) Firefox 中的 14 個高危漏洞，那么攻擊面發(fā)現(xiàn)的博弈規(guī)則已經(jīng)發(fā)生了永久性的改變：防御方獲得了一個利器，但其他人（攻擊者）也同樣擁有了它�！�

而網(wǎng)友針對此事的反應(yīng)如此激烈，其實也在一定程度上說明，在大模型技術(shù)快速發(fā)展的當(dāng)下，安全問題已然變得愈加重要，軟件安全性依然是各大技術(shù)發(fā)展過程中的重中之重。

接下來，我們就來具體了解一下此次 Anthropic 與 Mozilla 合作的詳情，以及到底 Claude Opus 4.6 是如何能夠做出這樣的成績的。

從模型評測到安全合作

2025 年底，Anthropic 注意到 Opus 4.5 在 CyberGym（一個用于測試 LLM 是否能夠復(fù)現(xiàn)已知安全漏洞的基準(zhǔn)測試）上已經(jīng)幾乎能夠解決所有任務(wù)，于是，團(tuán)隊希望構(gòu)建一個「更困難、更貼近真實世界」的評估環(huán)境，其中包含更高比例的技術(shù)復(fù)雜漏洞，例如現(xiàn)代瀏覽器中所存在的漏洞。

因此，Anthropic 建立了一個關(guān)于 Mozilla 的 Firefox 歷史 CVE（通用漏洞披露）的數(shù)據(jù)集，以觀察測試 Claude 是否能夠復(fù)現(xiàn)這些漏洞。

之所以選擇 Firefox，是因為它既是一個復(fù)雜的代碼庫，也是世界上測試最充分、最安全的開源項目之一，這對 AI 發(fā)現(xiàn)新型安全漏洞的能力是一個更嚴(yán)峻的考驗。而相較于 Anthropic 之前測試模型的開源軟件相比，這明顯更具挑戰(zhàn)性。每天有數(shù)億用戶依賴它，而瀏覽器漏洞尤為危險，因為用戶經(jīng)常接觸不受信任的內(nèi)容，并依賴瀏覽器來保證安全。

團(tuán)隊所做的第一步是使用 Claude 在舊版本 Firefox 代碼庫中尋找已知 CVE。令人驚訝的是，Opus 4.6 能夠復(fù)現(xiàn)相當(dāng)高比例的歷史漏洞，而這些漏洞當(dāng)初往往需要研究人員付出大量人力才能發(fā)現(xiàn)。

不過，當(dāng)時大家對這個結(jié)果仍然存在疑問，因為這些歷史漏洞可能出現(xiàn)在 Claude 的訓(xùn)練數(shù)據(jù)中。因此，僅憑這一結(jié)果還不足以證明模型真正具備漏洞發(fā)現(xiàn)能力。

于是，團(tuán)隊讓 Claude 去尋找當(dāng)前 Firefox 版本中的新漏洞。也就是說，這些漏洞此前從未被報告過。最初專注于 Firefox 的 JavaScript 引擎，隨后逐步擴(kuò)展到瀏覽器的其他部分。

之所以選擇 JavaScript 引擎的原因包括：

• 它是 Firefox 代碼庫中相對獨立的一部分，可以單獨分析；
• 同時又具有非常大的攻擊面，因為當(dāng)用戶瀏覽網(wǎng)頁時，JavaScript 引擎會執(zhí)行來自互聯(lián)網(wǎng)的不受信任代碼。

而就在僅僅 20 分鐘探索后，Claude Opus 4.6 報告稱發(fā)現(xiàn)了一個 Use-After-Free（釋放后重用）漏洞。這種漏洞屬于內(nèi)存安全漏洞，可能允許攻擊者用任意惡意內(nèi)容覆蓋數(shù)據(jù)。

研究人員在一個獨立虛擬機(jī)中驗證了該漏洞，并使用最新 Firefox 版本確認(rèn)問題存在。隨后兩名 Anthropic 研究員再次驗證。于是，Anthropic 在 Mozilla 的問題追蹤系統(tǒng) Bugzilla 中提交了 Bug 報告，并附帶了漏洞描述和一份建議補(bǔ)�。ㄓ� Claude 編寫并由報告團(tuán)隊驗證），以幫助分類溯源。

而就在 Anthropic 驗證并提交第一個漏洞的時間里，Claude 已經(jīng)發(fā)現(xiàn)了另外 50 個崩潰輸入樣本。在對這些崩潰進(jìn)行分類時，一位 Mozilla 研究人員建議批量提交所有發(fā)現(xiàn)，即使不確定所有崩潰案例是否都有安全影響，也不必逐一驗證。

最終，Anthropic 掃描了近 6000 個 C++ 文件，并提交了總計 112 份獨立漏洞報告，其中就包括上述所說的高危和中危漏洞。目前，大多數(shù)問題已在 Firefox 148 中修復(fù)，其余問題將在后續(xù)版本中修復(fù)。

從發(fā)現(xiàn)漏洞到開發(fā)利用代碼

為了測試 Claude 在網(wǎng)絡(luò)安全方面的能力上限，Anthropic 還設(shè)計了一項新評估，以確定 Claude 是否能夠利用所發(fā)現(xiàn)的這些漏洞。換句話說，團(tuán)隊想了解 Claude 是否也能開發(fā)出黑客攻擊所需的工具，利用漏洞執(zhí)行惡意代碼？

團(tuán)隊向 Claude 提供已提交給 Mozilla 的漏洞，并要求它為每一個漏洞開發(fā)一個利用程序（exploit）。

為了證明利用成功，要求 Claude 演示一次真實的攻擊。具體而言，它必須像攻擊者一樣，在目標(biāo)系統(tǒng)中讀取并寫入一個本地文件。

為此，團(tuán)隊運行了數(shù)百次實驗，消耗了約 4000 美元的 API 費用，而結(jié)果顯示：Claude 只成功利用了兩個漏洞。

這說明兩件事：

• Claude發(fā)現(xiàn)漏洞的能力遠(yuǎn)強(qiáng)于利用漏洞的能力；
• 發(fā)現(xiàn)漏洞的成本比開發(fā) exploit 低一個數(shù)量級。

但需要注意的是：Claude 確實成功自動生成了瀏覽器 exploit（盡管只有少數(shù)案例），這一點仍然令人擔(dān)憂。

另外，需要強(qiáng)調(diào)的是，Claude 寫出的 exploit 非常原始，僅在測試環(huán)境中有效，而該測試環(huán)境移除了部分瀏覽器安全機(jī)制，尤其是 sandbox（沙箱），其目的是降低此類漏洞的影響。

因此，在真實 Firefox 中，其本身的縱深防御（defense-in-depth） 可以有效阻止這些特定的 exploit。

不過，突破沙箱的漏洞并非不存在，而 Claude 的攻擊已經(jīng)完成了完整攻擊鏈中的一個關(guān)鍵環(huán)節(jié)。

AI 驅(qū)動的網(wǎng)絡(luò)安全未來

這些 AI 輔助 exploit 開發(fā)的早期跡象，凸顯了防御者加速「發(fā)現(xiàn)與修復(fù)」流程的重要性。為此，Anthropic 想分享一些在執(zhí)行此分析時發(fā)現(xiàn)的技術(shù)和流程最佳實踐。

首先，在研究 LLM 開發(fā)和驗證補(bǔ)丁的「補(bǔ)丁 Agent」（patching agents）時，團(tuán)隊開發(fā)了幾種方法，希望能幫助維護(hù)者使用 Claude 等 LLM 更快地分類和處理安全報告。

根據(jù)經(jīng)驗，當(dāng) Claude 能夠使用另一個工具檢查自己的工作時，表現(xiàn)最佳。團(tuán)隊將這類工具稱為「任務(wù)驗證器（task verifier）」：這是一種確信 AI Agent 的輸出是否真正實現(xiàn)其目標(biāo)的可靠方法。驗證器在代理探索代碼庫時提供實時反饋，允許其深入迭代直到成功。

「任務(wù)驗證器」幫助團(tuán)隊發(fā)現(xiàn)了上述 Firefox 漏洞，在其他研究中，發(fā)現(xiàn)它們在修復(fù) Bug 方面也很有用。一個優(yōu)秀的補(bǔ)丁 Agent 至少需要驗證兩件事：漏洞是否已被真正消除，以及程序的預(yù)期功能是否得以保留。

在 Anthropic 的工作中，團(tuán)隊構(gòu)建了能夠自動測試在建議修復(fù)后原始 Bug 是否仍能被觸發(fā)的工具，并獨立運行測試套件以捕捉回歸（regressions）（即意外破壞其他功能的更改）。

團(tuán)隊預(yù)計，維護(hù)者最清楚如何為自己的代碼庫構(gòu)建這些驗證器。關(guān)鍵點在于，給 Agent 一個可靠的方法來檢查這兩個屬性，可以顯著提高其輸出質(zhì)量。

https://techcrunch.com/2026/03/06/anthropics-claude-found-22-vulnerabilities-in-firefox-over-two-weeks/

https://www.anthropic.com/news/mozilla-firefox-security