Mozilla称Claude Opus 4.6两周发现Firefox超100漏洞，14个高危

在最近与Mozilla的安全合作中，Anthropic旗下的Claude Opus 4.6在为期两周的审计中发现了22个独立漏洞，其中14个被分类为高严重性，远超通常的漏洞报告数量[1]。这一成果充分展示了AI工具在发现复杂代码漏洞方面的优势，特别是在处理规模庞大、经过充分测试的开源项目时表现突出[1]。

Anthropick团队选择Firefox作为审计对象，正因为它

大多数发现的漏洞已在Firefox 148版本（2月发布）中得到修复，少数修复将推迟到下一个版本发布[1]。然而，值得注意的是，尽管Claude Opus在漏洞检测方面表现卓越，但在编写漏洞利用代码方面的能力相对有限[1]。

Anthropic团队为制作概念验证（PoC）漏洞利用代码投入了4000美元的API信用，但仅在两个案例中成功[1]。这反映出AI在安全审计中的真实局限——虽然能有效识别潜在风险，但要实现完整的漏洞利用仍需更多的技术深度和人工参与。

这次合作为AI在开源项目中的应用价值提供了有力证明。Claude Opus 4.6使用之初从JavaScript引擎入手，随后扩展至代码库的其他部分，系统性地进行安全审计[1]。这种方法论为其他开源项目的安全改进提供了借鉴。

与此同时，Anthropic团队也坦诚，虽然AI工具为开源项目带来了强大的安全能力，但同时也伴随着大量低质量的合并请求，这对维护者造成了额外的负担[1]。这提示开源社区需要在接纳AI辅助时，建立相应的质量把关机制。

此次Firefox漏洞发现事件标志着AI在网络安全领域应用的新阶段。利用Claude Opus这样的高端AI模型进行深度代码审计，相比传统方法能够更快速、更全面地识别安全隐患[1]。特别是对于代码复杂度高、使用广泛的浏览器项目而言，这种AI驱动的安全审计方式具有重要意义。

随着AI模型能力的不断提升，未来可能会看到更多开源项目与AI安全审计工具的合作，推动整个开源生态的安全水平提升。不过，建立AI工具在安全审计中的规范应用框架，确保其效能最大化同时最小化负面影响，仍是行业需要认真思考的课题。