人工智能在网络安全研究领域的应用正在迅速升温。AI公司Anthropic近日与开源浏览器开发者Mozilla合作，利用AI模型协助分析代码，在Firefox中发现22个安全漏洞，其中14个被Mozilla评定为高严重性（high-severity）漏洞。

该研究主要由Anthropic的安全研究团队进行，研究人员利用其大型语言模型Claude Opus 4.6分析Firefox代码，并在两周内提交多项漏洞报告。整体而言，研究团队扫描了约6,000个C++源代码文件，向Mozilla提交112份问题报告，Mozilla为其中22个漏洞分配CVE编号，其中有14个为高严重性漏洞，另有约90个涉及各种崩溃案例与程序逻辑错误。

Mozilla表示，这些漏洞主要涉及浏览器核心组件，包括JavaScript引擎等重要模块，若被利用可能导致数据被篡改或执行恶意代码。

Mozilla说明，过去由AI辅助的漏洞报告质量常常参差不齐，这次是在Anthropic团队利用其AI模型Claude分析Firefox的JavaScript引擎后，主动联系了Firefox的工程师。重要的是，他们的漏洞报告包含最小测试用例，使Mozilla的安全团队能够快速验证并复现每一个问题。

在数小时内，Mozilla的平台工程师便开始提交补丁，同时与Anthropic展开密切合作，将相同方法应用在整个浏览器的代码库中。

Anthropic解释，该公司在2025年底发现Opus 4.5几乎能解决CyberGym基准测试中的所有任务。CyberGym是一个测试大型语言模型能否复现已知安全漏洞的评估平台，但他们希望设计一个更困难且更贴近真实场景的评估环境，因此整理了一个包含Firefox历史CVE漏洞的数据集，观察Claude能否复现这些漏洞。

随后Anthropic的安全研究团队发现Opus 4.6能成功复现其中相当高比例的历史漏洞，接着让Claude在最新版本的Firefox中寻找新漏洞，大约在20分钟后便在JavaScript引擎中发现一个释放后使用（Use-After-Free）漏洞，可能让黑客覆盖数据并执行恶意代码。

当研究人员完成漏洞验证、漏洞说明及补丁建议并向Mozilla报告时，Claude已经额外找到50多个不同的崩溃输入案例；之后Mozilla鼓励他们即使未完全验证，也可以批量提交所有发现。

Anthropic表示，Claude Opus 4.6在两周内发现了22个漏洞，其中有14个为高严重性漏洞，这几乎占了2025年Firefox所有高严重性漏洞修复数量的五分之一。

有趣的是，为了测试Claude在安全能力上的极限，Anthropic还进行了一项额外评估，测试Claude是否能利用这些漏洞编写攻击程序；他们将已提交给Mozilla的漏洞提供给Claude，要求它为每个漏洞设计利用方式，并展示实际攻击，例如读写目标系统中的本地文件。结果发现，在数百次测试中，消耗约4,000美元的API额度后，Claude仅在两个案例中成功将漏洞转化为攻击程序。

Anthropic认为这说明了两件事：一是Claude在漏洞发现方面的能力远强于利用漏洞，二是发现漏洞的成本远低于开发攻击程序。

Mozilla已于2026年2月24日发布的Firefox 148版本中修补了相关漏洞与大多数错误。