Anthropic hat mithilfe seines KI-Modells Claude Opus 4.6 insgesamt 22 Sicherheitslücken in Firefox identifiziert, darunter 14 kritische Schwachstellen. Die Erkenntnisse zeigen, dass KI-Systeme zwar effektiv Bugs finden, aber nur selten funktionsfähige Exploits entwickeln können.
Im Rahmen einer Sicherheitspartnerschaft mit Mozilla gab das KI-Unternehmen Anthropic am Freitag bekannt, dass es 22 neue Sicherheitslücken im Firefox-Webbrowser aufgespürt hat. Die Schwachstellen setzen sich aus 14 kritischen, sieben mittelschweren und einer geringen Sicherheitslücke zusammen. Firefox 148, das Ende des letzten Monats veröffentlicht wurde, behebt diese Probleme.
Die Vulnerabilities wurden während eines zweiwöchigen Zeitraums im Januar 2026 identifiziert. Anthropic zufolge repräsentiert die Anzahl der kritischen Bugs, die das Sprachmodell Claude Opus 4.6 fand, knapp ein Fünftel aller im Jahr 2025 behobenen kritischen Firefox-Schwachstellen.
Besonders bemerkenswert: Das KI-Modell erkannte eine Use-After-Free-Schwachstelle in Firefoxs JavaScript-Engine nach gerade einmal 20 Minuten Analyse. Ein menschlicher Sicherheitsforscher validierte den Fund anschließend in einer isolierten Umgebung, um Fehlalarme auszuschließen.
“Am Ende unserer Untersuchung hatten wir knapp 6.000 C++-Dateien gescannt und insgesamt 112 einzigartige Berichte eingereicht”, erklärte Anthropic. “Die meisten Probleme wurden in Firefox 148 behoben, die restlichen folgen in künftigen Versionen.”
Zum Testen der praktischen Exploitierbarkeit gab Anthropic Claude Zugriff auf die komplette Liste aller an Mozilla gemeldeten Lücken. Trotz mehrerer hundert Versuche und Kosten von etwa 4.000 Dollar für API-Credits gelang es Claude Opus 4.6 nur in zwei Fällen, eine funktionierende Exploit zu entwickeln.
Dieses Ergebnis offenbart zwei wichtige Erkenntnisse: Die Kosten für die Schwachstellenerkennung sind deutlich niedriger als für die Entwicklung von Exploits, und das Modell identifiziert Bugs besser, als es sie ausnutzt. Dennoch warnt Anthropic: “Die Tatsache, dass Claude automatisch auch nur in wenigen Fällen einen funktionsfähigen Browser-Exploit entwickeln konnte, ist besorgniserregend.” Die entwickelten Exploits funktionierten allerdings nur in der kontrollierten Testumgebung Anthropics, in der Sicherheitsfeatures wie Sandboxing absichtlich deaktiviert waren.
Schlüsselkomponente des Prozesses war ein Task-Verifier, der die Funktionsfähigkeit von Exploits überprüft und dem Modell Echtzeitfeedback während der Code-Analyse gibt. Ein Beispiel: Claude schrieb einen Exploit für CVE-2026-2796 (CVSS-Score: 9.8), eine JIT-Kompilierungslücke in Firefoxs WebAssembly-JavaScript-Komponente.
Die Ankündigung erfolgt Wochen nach Anthropics Veröffentlichung von Claude Code Security in limitierter Forschungsvorschau, ein Werkzeug zur automatisierten Behebung von Schwachstellen.
Mozilla bestätigte in einer koordinierten Mitteilung, dass der KI-gestützte Ansatz 90 weitere Bugs aufdeckte, von denen die meisten bereits behoben sind. Diese umfassen Assertion-Fehler sowie logische Fehler, die traditionelle Fuzzing-Tools übersehen hatten.
“Das Ausmaß der Funde zeigt die Kraft der Kombination aus rigoroser Ingenieurkunst und innovativen Analysetools”, sagte Mozilla. “Dies ist ein klarer Beleg dafür, dass großflächige, KI-gestützte Analysen ein kraftvolles neues Werkzeug im Arsenal von Sicherheitsingenieuren darstellen.”
Quelle: The Hacker News