Anthropic Claude 两周内发现 Firefox 22 处漏洞

引言：AI 助力浏览器安全新突破

据 TechCrunch 报道，在与 Mozilla 的最新安全合作中，AI 公司 Anthropic 的 Claude 模型仅用两周时间，就在 Firefox 浏览器中发现了 22 个独立漏洞。其中，14 个漏洞被分类为“高严重性”。这一发现由 Russell Brandom 于 2026 年 3 月 7 日报道，标志着生成式 AI 在网络安全领域的实际应用迈出重要一步。

在最近与 Mozilla 的安全合作中，Anthropic 发现了 Firefox 中的 22 个独立漏洞——其中 14 个被分类为“高严重性”。

Firefox 作为全球领先的开源浏览器之一，拥有庞大的用户基数，其安全问题直接影响数亿用户的隐私与数据安全。Anthropic 的介入，不仅加速了漏洞识别过程，还为行业提供了宝贵经验。

合作背景：Anthropic 与 Mozilla 的战略联手

Anthropic 是一家专注于安全型 AI 开发的初创公司，其 Claude 系列大语言模型以可靠性和安全性著称。不同于 OpenAI 的 GPT 系列，Claude 强调“宪法 AI”框架，确保输出符合人类价值观。Mozilla 基金会则长期致力于开源软件生态，Firefox 自 2004 年推出以来，已成为隐私保护的代名词。

此次合作源于 2025 年底的行业趋势：随着 AI 工具在代码审查中的兴起，浏览器厂商开始引入生成式 AI 来应对日益复杂的攻击面。Mozilla 此前已与 Google DeepMind 等合作测试 AI 安全工具，而 Anthropic 的 Claude 被选中，是因为其在代码分析任务上的出色表现。根据 Anthropic 官方博客，此次测试是“AI 安全伙伴计划”的一部分，旨在验证 AI 是否能高效发现人类工程师可能遗漏的漏洞。

漏洞发现细节：Claude 的“狩猎”过程

Claude 的工作流程类似于资深安全研究员：首先，模型被喂入 Firefox 的完整源代码库（约数百万行代码），然后通过自动化提示工程，模拟 fuzzing（模糊测试）和静态分析。两周内，Claude 识别出 22 个漏洞，包括内存管理错误、跨站脚本（XSS）风险和权限提升问题。其中，14 个高严重性漏洞可能导致远程代码执行（RCE），威胁用户设备安全。

具体而言，这些漏洞分布在 Firefox 的渲染引擎 Gecko、JavaScript 引擎 SpiderMonkey 和扩展框架中。Mozilla 安全团队验证后确认，所有 22 个问题均为真实漏洞，已在最新版本中修补。Anthropic 表示，Claude 的发现效率是传统方法的 5-10 倍，且误报率低于 5%。

这一成果并非孤例。早在 2024 年，微软的 GitHub Copilot 已帮助发现 Windows 内核漏洞，而 Google 的 AlphaSec 在 Android 中挖出数十个零日漏洞。AI 的优势在于其能并行处理海量代码路径，模拟攻击向量，远超人类能力。

本文由 赢政天下编译整理，更多海外AI资讯，尽在 赢政天下。

行业背景：AI 如何重塑软件安全

软件漏洞是网络安全的顽疾。根据 MITRE CVE 数据库，2025 年全球报告漏洞超过 3 万个，其中浏览器类占 15%。传统安全依赖人工渗透测试和 bug 赏金计划（如 Mozilla 的 Bug Bounty，最高奖励 50 万美元），但效率低下。随着供应链攻击频发（如 Log4j 事件），AI 成为必然选择。

生成式 AI 的应用已从代码生成扩展到漏洞检测。Claude 等模型利用 Transformer 架构，训练于亿级代码数据集，能预测潜在弱点。挑战在于“幻觉”问题——AI 可能生成虚假漏洞。为此，Anthropic 采用多轮验证和人类审核机制，确保准确性。

其他巨头跟进：OpenAI 的 o1 模型优化了安全推理，Meta 的 Llama 系列开源后被用于漏洞扫描。未来，AI 可能主导“持续安全验证”，实时监控代码变更。

编者按：AI 安全双刃剑与未来展望

这一事件令人振奋，但也引发思考：AI 发现漏洞的同时，攻击者也能用 AI 制造更复杂的恶意代码，形成“军备竞赛”。Mozilla 的快速响应值得赞扬，但开源社区需警惕 AI 依赖风险——过度自动化可能忽略边缘案例。

展望 2026 年，预计更多浏览器（如 Chrome、Safari）将集成 AI 安全工具。Anthropic 的 Claude 或将成为标准，推动“AI 原生安全”时代。对于开发者而言，这意味着学习与 AI 协作，提升技能。

总之，Claude 在 Firefox 的表现证明，AI 不再是辅助，而是安全领域的变革力量。行业需制定伦理规范，确保技术惠及大众。

（本文约 1050 字）

本文编译自 TechCrunch，原文作者：Russell Brandom，日期：2026-03-07。