Иногда настоящие технологические прорывы происходят не в громких презентациях, а в тихих инженерных экспериментах. Один из таких случаев произошёл недавно: команда Anthropic использовала модель Claude для поиска уязвимостей в браузере Firefox — и обнаружила более десятка серьёзных багов, которые могли годами оставаться незамеченными.
Это не просто очередная новость про «ИИ помогает программистам». Перед нами первый масштабный пример того, как языковая модель реально усиливает работу специалистов по кибербезопасности — причём в одном из самых проверенных и изученных проектов в мире.
Firefox — один из самых проверенных проектов в интернете
Firefox существует больше двадцати лет. За это время его кодовую базу проверяли практически всеми возможными способами.
⚙️ ручные аудиты безопасности
⚙️ статический анализ кода
⚙️ автоматическое тестирование
⚙️ фаззинг-тестирование
⚙️ баг-баунти программы
Особенно важен фаззинг (fuzzing) — техника, которая генерирует огромные объёмы случайных входных данных, чтобы вызвать ошибки в программе.
Именно благодаря фаззингу за последние десятилетия нашли тысячи уязвимостей в браузерах, операционных системах и сетевых сервисах.
Но у этого метода есть слабое место.
Фаззинг отлично находит:
🧨 переполнения памяти
🧨 падения программы
🧨 ошибки обработки данных
Но он плохо обнаруживает логические ошибки.
И именно здесь неожиданно оказался полезен искусственный интеллект.
Что сделал Claude
Команда Anthropic Frontier Red Team использовала новую методику анализа кода с помощью модели Claude.
Идея довольно интересная: вместо того чтобы просто генерировать случайные входные данные, модель читает код как разработчик.
Она анализирует:
🧠 архитектуру модулей
🧠 логику обработки данных
🧠 взаимодействие компонентов
🧠 потенциальные сценарии атак
После этого модель формирует гипотезу: где может быть уязвимость.
Но самое важное — она генерирует минимальный тест, который позволяет воспроизвести проблему.
Именно это стало ключевым моментом.
Многие AI-отчёты о багах бесполезны, потому что они выдают:
⚠️ тысячи ложных срабатываний
⚠️ теоретические уязвимости
⚠️ ошибки без доказательств
Но здесь каждая найденная проблема сопровождалась готовым тестом, который инженеры Firefox могли сразу запустить.
Результаты оказались впечатляющими
После проверки инженеры Mozilla подтвердили результаты.
📈 найдено 14 серьёзных уязвимостей
📈 выпущено 22 CVE
📈 дополнительно обнаружено 90 обычных багов
Все серьёзные проблемы были исправлены до выхода Firefox 148.
Это означает, что пользователи получили обновление браузера уже с исправленными уязвимостями — ещё до того, как ими могли воспользоваться злоумышленники.
Самое интересное: часть багов раньше никто не находил
Firefox — один из самых исследованных проектов в мире. Его код десятилетиями проверяют разработчики, исследователи безопасности и автоматические системы.
И всё равно модель смогла найти новый класс ошибок.
Это важный момент.
ИИ оказался полезен не потому, что делает то же самое быстрее.
Он ищет по-другому.
Почему языковые модели хорошо ищут баги
LLM вроде Claude обучены на огромных объёмах кода.
В процессе обучения они фактически усваивают статистические закономерности программирования:
⚙️ типичные паттерны кода
⚙️ распространённые ошибки
⚙️ небезопасные конструкции
⚙️ архитектурные антипаттерны
Поэтому модель может заметить странность в коде примерно так же, как это делает опытный разработчик.
Например:
🔎 некорректную проверку прав доступа
🔎 неправильную обработку типов
🔎 логические противоречия
🔎 небезопасные переходы состояния
Фаззер может миллионы раз запускать программу — и не попасть в нужный сценарий.
А модель может прочитать код и догадаться, где проблема.
Почему Firefox стал идеальным полигоном
Mozilla выбрала Firefox для эксперимента не случайно.
Причины довольно очевидны.
🌍 огромная пользовательская база
🔓 открытый исходный код
🔬 многолетняя история аудита безопасности
Если новая технология поиска уязвимостей работает здесь — значит, она действительно работает.
Firefox стал своего рода стресс-тестом для AI-анализа безопасности.
Что это значит для будущего кибербезопасности
Самый интересный вывод из этой истории — не найденные баги.
А новая модель работы.
Похоже, начинается эпоха безопасности с участием ИИ.
Когда системы безопасности работают так:
🧠 AI анализирует код
⚙️ генерирует гипотезы атак
🧪 создаёт тесты
👨💻 инженеры проверяют и исправляют
Это не заменяет специалистов.
Но резко увеличивает их возможности.
Фактически каждый инженер безопасности получает интеллектуального ассистента, который может анализировать миллионы строк кода.
Но есть и обратная сторона
ИИ помогает не только защитникам.
Он может помочь и атакующим.
Те же инструменты можно использовать для:
⚠️ автоматического поиска уязвимостей
⚠️ генерации эксплойтов
⚠️ анализа программ
Поэтому сейчас начинается своего рода гонка AI-инструментов в кибербезопасности.
Кто быстрее применит новые технологии — защитники или атакующие.
Вывод: новая эпоха поиска уязвимостей
История с Firefox показывает важную вещь.
ИИ постепенно превращается из инструмента генерации текста в инженерный инструмент анализа систем.
Он уже способен:
🧠 читать большие кодовые базы
🔍 находить сложные логические ошибки
⚙️ создавать воспроизводимые тесты
А это означает, что подход к безопасности программного обеспечения начинает меняться.
Возможно, через несколько лет проверка кода с помощью AI станет такой же стандартной практикой, как сегодня фаззинг или статический анализ.
И если это произойдёт, интернет станет немного безопаснее — не потому, что код стал идеальным, а потому что ошибки будут находить раньше, чем их успеют использовать.
Источники
🔗 Оригинальная статья Mozilla
https://blog.mozilla.org/en/firefox/hardening-firefox-anthropic-red-team/
🔗 Полная версия материала
https://telegra.ph/Zashchita-brauzera-s-pomoshchyu-II-kak-Mozilla-i-Anthropic-nashli-14-uyazvimostej-v-Firefox-03-06