Firefox借助Anthropic AI發(fā)現(xiàn)漏洞，但內(nèi)存故障仍在引發(fā)崩潰

得益于Anthropic的AI及其漏洞檢測能力，F(xiàn)irefox用戶現(xiàn)在可以享受更強的安全性。不過，如果問題是瀏覽器崩潰而非安全漏洞，Claude可能幫不上忙。

Mozilla工程師Gabriele Svelto在最近的Mastodon帖子中表示，他認為約10%的Firefox瀏覽器崩潰可歸因于位翻轉(zhuǎn)——內(nèi)存中的意外變化——而非軟件錯誤。

位翻轉(zhuǎn)可能由多種因素引起，例如宇宙射線和Rowhammer攻擊。但通常原因更為平常——有缺陷的電子元件。

"今天我查看了這些測試產(chǎn)生的數(shù)據(jù)，現(xiàn)在我百分之百確信……我們看到的許多崩潰來自內(nèi)存損壞或類似不穩(wěn)定硬件的用戶，"他說。

Svelto表示，在過去一周內(nèi)，Mozilla收到了約47萬份來自Firefox用戶的崩潰報告，這僅涵蓋了選擇加入崩潰報告的用戶。他說，其中約2.5萬份看起來可能是位翻轉(zhuǎn)。

"這意味著每二十次崩潰中就有一次可能由損壞/不穩(wěn)定的內(nèi)存引起，這個比例很大！"他說。"而且因為這是一個保守的啟發(fā)式方法，我們低估了真實數(shù)字，實際可能至少是兩倍。"

他還表示，如果減去資源耗盡（如內(nèi)存不足）導(dǎo)致的崩潰，可歸因于硬件的崩潰比例會上升到約15%。

Svelto說，雖然他的研究主要集中在計算機和手機上，但這些問題存在于每個設(shè)備中，例如路由器和打印機。

這不是人們第一次對硬件錯誤率感到震驚。谷歌研究人員在2009年研究其數(shù)據(jù)中心的DRAM錯誤時驚訝地發(fā)現(xiàn)，DRAM錯誤率"比之前報告的高出幾個數(shù)量級，每十億設(shè)備小時每兆位有25,000到70,000個錯誤，每年超過8%的DIMM受到錯誤影響。"

位翻轉(zhuǎn)超出了Mozilla的控制范圍，但該公司已經(jīng)能夠在Anthropic紅隊的幫助下加固其軟件。

Mozilla工程師Brian Grinstead和Christian Holler在一篇博客文章中表示，幾周前，Anthropic帶著一個新的基于AI的漏洞檢測系統(tǒng)接觸了Firefox團隊。

他們說，之前使用AI輔助漏洞檢測系統(tǒng)的結(jié)果好壞參半，但這次不同。

"幾小時內(nèi)，我們的平臺工程師就開始修復(fù)問題，我們與Anthropic展開了緊密合作，將同樣的技術(shù)應(yīng)用于瀏覽器代碼庫的其余部分，"他們說。"總共，我們發(fā)現(xiàn)了14個高嚴重性漏洞，并因此發(fā)布了22個CVE。所有這些漏洞現(xiàn)在都已在最新版本的瀏覽器中修復(fù)。"

Anthropic表示，它使用最近的Claude Opus 4.6模型完成了這一壯舉，甚至讓其AI模型為現(xiàn)已修補的漏洞之一（CVE-2026-2796）生成了一個可工作的漏洞利用程序。

"需要明確的是，Claude編寫的漏洞利用程序僅在測試環(huán)境中有效，該環(huán)境故意移除了現(xiàn)代網(wǎng)絡(luò)瀏覽器的一些安全功能，"安全研究人員Evyatar Ben Asher、Keane Lucas、Nicholas Carlini、Newton Cheng和Daniel Freeman在博客文章中解釋道。"Claude還不能編寫結(jié)合多個漏洞以逃離瀏覽器沙箱的'全鏈'漏洞利用程序，而這些才是真正會造成危害的。"

但那一刻可能不會太遠。

"從進展速度來看，前沿模型在漏洞發(fā)現(xiàn)和利用能力之間的差距不太可能持續(xù)很長時間，"Anthropic說。"如果未來的語言模型突破這一利用障礙，我們將需要考慮額外的保障措施或其他行動，以防止我們的模型被惡意行為者濫用。"

Q&A

Q1：Firefox瀏覽器崩潰有多少是由硬件問題引起的？

A：根據(jù)Mozilla工程師Gabriele Svelto的研究，約10%的Firefox瀏覽器崩潰可歸因于位翻轉(zhuǎn)等硬件問題，而非軟件錯誤。如果排除內(nèi)存不足等資源耗盡導(dǎo)致的崩潰，這一比例會上升到約15%。在過去一周收到的47萬份崩潰報告中，約2.5萬份看起來可能是位翻轉(zhuǎn)引起的。

Q2：Anthropic的AI如何幫助Firefox提升安全性？

A：Anthropic使用其Claude Opus 4.6模型為Firefox開發(fā)了一個基于AI的漏洞檢測系統(tǒng)。通過這個系統(tǒng)，Mozilla在幾小時內(nèi)就開始修復(fù)問題，最終發(fā)現(xiàn)了14個高嚴重性漏洞，并發(fā)布了22個CVE。所有這些漏洞現(xiàn)在都已在最新版本的Firefox瀏覽器中修復(fù)。

Q3：Claude AI能否編寫完整的瀏覽器漏洞利用程序？

A：目前Claude還不能編寫"全鏈"漏洞利用程序，即結(jié)合多個漏洞以逃離瀏覽器沙箱的程序。它生成的漏洞利用程序僅在移除了部分安全功能的測試環(huán)境中有效。不過，Anthropic表示，從進展速度來看，前沿模型在漏洞發(fā)現(xiàn)和利用能力之間的差距不太可能持續(xù)很長時間。