新聞摘要

在人工智能驅動的安全研究的里程碑式展示中，Anthropic 的 Claude Opus 4.6 在 2026 年 2 月（美國東部時間）為期兩週的合作期間，識別出 Mozilla Firefox 瀏覽器中 22 個先前未知的漏洞。其中 14 個被歸類為高嚴重性，佔 2025 年全年已修復的 Firefox 高嚴重性漏洞的近五分之一。這些結果於 2026 年 3 月 6 日（美國東部時間）星期四公開披露。

背景：一次刻意且嚴謹的測試

Anthropic 的 Frontier Red Team 選擇 Firefox 作為試驗場，是有特定原因的：Firefox 被廣泛認為是世界上最經過徹底審查且最安全的開源程式碼庫之一，每天有數億用戶依賴它。該團隊希望進行一項挑戰，將 Claude 推向真實世界的生產級軟體，而不僅僅是合成基準測試。

實驗開始時，要求 Claude 在 Firefox 程式碼庫的舊版本中重現先前已知的 CVE（通用漏洞披露）。該模型的成功率顯著較高——儘管研究人員承認一些歷史 CVE 可能出現在 Claude 的訓練數據中。為了消除這種不確定性，該團隊將 Claude 重定向到尋找當前版本的 Firefox 中完全新穎、前所未見的錯誤。

搜尋：從 JavaScript 引擎到整個瀏覽器

Claude Opus 4.6 的部署始於 Firefox 的 JavaScript 引擎——鑑於其巨大的攻擊面，這是一個合乎邏輯的切入點。該引擎在用戶瀏覽網頁時會例行處理不受信任的外部程式碼，使其成為攻擊者的最高價值目標之一。

在僅僅二十分鐘的自主程式碼探索後，Claude 識別出了一個新穎的 Use-After-Free 漏洞，這是一種記憶體損壞缺陷，可能允許攻擊者用惡意負載覆蓋數據。在此初步成功基礎上，Claude 掃描了近 6,000 個 C++ 源文件，生成了 112 個獨特的錯誤報告，並直接提交給了 Mozilla 的 Bugzilla 問題追蹤系統。

在對這些提交進行分類後，Mozilla 的安全工程師確認了 22 個 CVE——其中 14 個被評為高嚴重性。這次為期兩週的衝刺所產生的漏洞報告數量，超過了 2025 年所有單一自然月份來自所有人類和自動化來源的總和。

Mozilla 的回應：大規模快速修補

Mozilla 將此次合作描述為與典型的 AI 輔助安全提交顯著不同，後者歷來存在高誤報率和過多的雜訊。Anthropic 的報告附帶了最小化的、可重現的測試案例，使 Mozilla 工程師能夠在數小時內驗證每個問題。

Mozilla 啟動了其所謂的「事件響應」模式來管理超過 100 個錯誤提交的湧入。多個工程團隊被動員起來驗證發現、編寫補丁並協調發布。大多數修復程序已在 2026 年 2 月 24 日（美國東部時間）發布的 Firefox 148.0 中推出，其餘補丁計劃在下一個瀏覽器版本中發布。

除了 22 個 CVE 外，Anthropic 的研究還發現了 90 個額外的非安全錯誤——其中大部分也已得到解決。值得注意的是，Claude 的一些發現代表了傳統模糊測試技術以前未曾發現的獨特邏輯錯誤類別。

漏洞利用：AI 仍顯不足之處

儘管發現率令人印象深刻，但研究揭示了一個關鍵的不對稱性：Claude 在發現漏洞方面遠比在利用漏洞方面更為出色。Anthropic 在數百次嘗試構建功能性概念驗證利用程序時，花費了約 4,000 美元的 API 積分。只有 兩個利用程序 成功了——而且這兩個都需要在禁用瀏覽器沙箱的測試環境中進行，這意味著 Firefox 的分層安全架構在現實條件下會阻止這些攻擊。

Mozilla 的安全主管 Tom Grinstead 指出，在實踐中，利用任何單一漏洞（即使是高嚴重性的漏洞）都不足以破壞 Firefox。現代瀏覽器依賴於縱深防禦：攻擊者需要成功地鏈接多個弱點才能發動有意義的利用。

目前，這種不對稱性對防禦者有利——AI 可以比武器化漏洞更快、更便宜地發現漏洞。

更廣泛的影響：防禦安全的新時代

Firefox 合作並非孤立的實驗。Anthropic 披露，Claude Opus 4.6 已被用於識別其他關鍵開源項目中的漏洞，包括 Linux 內核，最近幾個月在各項目中發現了超過 500 個零日漏洞。Anthropic 還推出了 Claude Code Security，目前處於有限的研究預覽階段，它將 AI 輔助的漏洞發現和補丁功能直接帶給安全團隊和開源維護者。

對網絡安全社區而言，其啟示是明確的：AI 正在成為防禦安全真正的力量倍增器。雖然人類專業知識在驗證、優先級排序和補救方面仍然至關重要，但 AI 系統現在可以以人類團隊單獨無法達到的速度和規模掃描數百萬行複雜的程式碼。

用戶現在應該做什麼

對於日常的 Firefox 用戶來說，立即採取的行動很簡單：更新到 Firefox 148 或更高版本。在此次合作期間發現的所有高嚴重性漏洞都已得到修補。尚未更新的用戶應及時更新，因為受影響的版本仍然暴露於已報告的缺陷中。