Представь: ты спокойно сидишь в браузере, открываешь какой-то сайт, а где-то в коде в этот момент лежит маленькая дырка, через которую можно устроить большие неприятности. Обычно такие вещи ищут долго, вручную и с кучей кофе. А тут приходит ИИ — и делает это как стажёр на стероидах: быстро, много и без нытья.
Реальный кейс: команда исследователей прогнала Claude по коду Firefox — и за две недели нашла 22 уязвимости. Mozilla признала 14 из них серьёзными. Это почти пятая часть всех опасных дыр, закрытых в Firefox за весь 2025 год. За две недели. Нормально так.
Почему Firefox — это не учебный полигон
Firefox выбрали не потому что «хотели потренироваться на чём попроще». Это один из самых проверенных и защищённых браузеров в мире — и при этом огромный и сложный. Браузер вообще неприятная штука для безопасности: каждый день переваривает чужой код из интернета и делает вид, что всё под контролем.
Сначала ИИ проверяли на старых уязвимостях — дали ему известные дыры и посмотрели, найдёт ли снова. Нашёл. Но это не считается — мог просто «помнить» из обучения. Поэтому следующий шаг был честнее: искать новые дыры в актуальной версии, которых ещё никто не описывал.
20 минут — и первая серьёзная находка
Начали с движка JavaScript — той части браузера, которая выполняет код сайтов. Через двадцать минут Claude нашёл уязвимость: программа продолжала работать с куском памяти, который уже должен был быть освобождён. В плохом сценарии это позволяет атакующему подменять данные и делать всякие неприятные вещи.
Исследователи проверили баг руками, оформили отчёт и приложили вариант исправления — тоже предложенный Claude. Люди проверили, что это не «чиню дверь, заколачивая окна».
Пока команда разбирала первую находку, Claude успел нагенерировать ещё около пятидесяти уникальных сбоев. Ты ещё один отчёт оформляешь, а ИИ уже принёс мешок новых.
Mozilla сказала: присылайте оптом
Дальше случилась редкая для мира безопасности вещь — нормальная совместная работа. Mozilla предложила: отправляйте находки пачкой, даже если не уверены, что каждая — реальная проблема. Их команда сама разберётся, где настоящая угроза, а где просто «упало, потому что упало».
По итогу просканировали почти 6 000 файлов и отправили 112 отчётов. Большую часть исправили в следующем обновлении Firefox — и это приехало сотням миллионов пользователей. Тот редкий случай, когда «обновитесь» не звучит как занудство.
Найти дыру ИИ умеет. Взломать — пока нет
Исследователи решили проверить потолок: сможет ли ИИ не просто найти уязвимость, а реально ею воспользоваться — как это сделал бы злоумышленник.
Прогнали эксперимент сотни раз, потратили около $4 000 — и получили только два успешных случая. Причём оба работали только в специальной тестовой среде с отключёнными защитами. В реальном браузере с нормальными настройками эти атаки бы не прошли.
Вывод немного успокаивающий: искать дыры ИИ научился хорошо, эксплуатировать их стабильно — пока нет. Это даёт защитникам фору: можно быстрее находить и чинить, пока злоумышленники не получили такую же автоматизацию для полноценного взлома.
Выглядит это как ситуация, когда у тебя в руках супербыстрый металлоискатель для мин — но сапёрная лопата всё ещё обычная. Важно успеть пройти поле, пока кто-то не догадался принести себе такую же.