Claude AI兩周內幫Mozilla揪出逾百個Firefox漏洞 含14個高危缺陷

Mozilla 基金會近日披露，其與 Anthropic 合作，在短短兩周內通過 Claude AI 輔助的漏洞挖掘方法，在 Firefox 瀏覽器中發現了 100 余個安全與穩定性問題，其中包括 14 個被認定為高危的安全漏洞。所有高危漏洞已被分配 22 個獨立的 CVE 編號，并在最新版 Firefox 148.0 中完成修復。

據介紹，此次合作由 Anthropic 的 Frontier Red Team 率先發起，對方在幾周前攜一套新開發的 AI 輔助“挖洞”方法聯系 Mozilla，并給出了在 Firefox 上的初步測試結果。Mozilla 稱，這一方法在實際驗證中效果顯著，有望在更大范圍內提升 Firefox 用戶的整體安全性。

在技術層面，Anthropic 團隊將目標鎖定在 Firefox 的 JavaScript 引擎上。一方面，Firefox 作為開源瀏覽器，“紅熊貓”（Red Panda）的代碼庫廣泛使用、長期被深入審查，非常適合作為測試新分析技術的對象；另一方面，JS 引擎本身也是瀏覽器最關鍵、最復雜、最容易成為攻擊入口的組件之一。AI 系統不僅在引擎中挖掘出了多個安全缺陷，還能自動生成最小化測試樣例，幫助 Firefox 開發者快速復現問題，加速修復流程。

綜合這輪測試結果，開發團隊確認了 14 個高嚴重度的安全漏洞，并據此登記了 22 條 CVE 記錄；與此同時，AI 還挖出約 90 個優先級較低的缺陷，目前這些問題也已經陸續得到修復。Mozilla 表示，這些成果已經全部合入最新發布的 Firefox 148.0 版本中，用戶更新瀏覽器即可獲得相應防護。

Mozilla 特別強調，Anthropic 的 AI 報告模式與近期飽受詬病的“AI 抄作業挖漏洞”截然不同。此前包括 curl 在內的一些大型開源項目，不得不公開勸退甚至禁止未經核查的 AI 生成漏洞報告，因為它們往往質量低劣、充滿“幻覺”，只是部分用戶為蹭漏洞獎勵而批量提交的噪音。相比之下，此次 Claude AI 的輸出質量高，可復現性強，減少了維護者在篩選垃圾報告上的負擔。

從漏洞類型看，本次借助 Anthropic 方法發現的許多問題，本應也可以通過傳統模糊測試（fuzzing）等自動化手段挖掘——這類技術通過向軟件注入大量異常輸入，觀察是否產生崩潰或異常行為。然而，Mozilla 指出，AI 模型還成功找到了若干“邏輯漏洞”類別，這類問題往往難以被單純依賴隨機輸入的 fuzzing 命中，說明大型模型在理解程序邏輯、構造更有針對性的測試場景方面具備優勢。

在親自“吃到效果”之后，Mozilla 計劃將這套 AI 輔助方法進一步融入自身更廣泛的安全與開發工作流中。該組織預期，隨著 Anthropic 的 Claude 系列以及其他先進 AI 系統的持續演進，它們在未來有望幫助 Firefox 挖出更多潛在問題，為瀏覽器用戶提供更強的防護層。

Mozilla 還表示，如果這類方法在規模化應用上繼續證明可行，不僅 Firefox，本輪嘗試中驗證有效的技術也有機會推廣到其他流行開源項目中使用。在傳統 fuzzing 與既有工具已經接近“天花板”的代碼庫里，引入 AI 可能成為突破口，幫助社區發掘大量此前被視為“幾乎不可發現”的深層漏洞。

當前，Mozilla 已在 Firefox 148 中加入了備受關注的 AI 開關選項，允許用戶更精細地控制瀏覽器中的 AI 功能，同時在底層借助 AI 加固安全，這也體現了其在 AI 時代同時重視用戶控制權與安全性的策略布局。