Anthropic verbindet die Bekanntgabe mit einem zweiten Experiment: Dem Claude-Modell wurde die gesamte Liste der an Mozilla gemeldeten Schwachstellen vorgelegt, mit der Aufgabe, dafür einen funktionierenden Exploit zu entwickeln. Trotz mehrerer Hundert Durchläufe und rund 4.000 US-Dollar an API-Guthaben gelang dem Modell die Umwandlung eines Sicherheitsfehlers in einen Exploit nur in zwei Fällen.
Daraus zieht das Unternehmen zwei Schlüsse: Das Finden von Schwachstellen sei günstiger als das Erstellen von Exploits, und das Modell sei im Aufspüren von Fehlern stärker als in deren Ausnutzung. Zugleich nennt Anthropic es “besorgniserregend”, dass Claude überhaupt in der Lage war, automatisch einen einfachen Browser-Exploit zu entwickeln, wenn auch nur in wenigen Fällen. Die Exploits funktionierten ausschließlich innerhalb der Testumgebung, der gezielt Sicherheitsfunktionen wie Sandboxing entfernt worden waren.
Eine zentrale Rolle in dem Verfahren spielt ein sogenannter Aufgaben-Verifizierer, der prüft, ob ein Exploit tatsächlich funktioniert. Er liefert dem Werkzeug in Echtzeit Rückmeldung während der Erkundung des Codes und erlaubt es ihm, seine Ergebnisse so lange anzupassen, bis ein erfolgreicher Exploit entsteht.
Einen dieser Exploits schrieb Claude für CVE-2026-2796 (CVSS-Wert: 9.8), beschrieben als Just-in-time-Fehlkompilierung in der JavaScript-WebAssembly-Komponente. Die meisten der gemeldeten Probleme wurden bereits in Firefox 148 behoben, die übrigen sollen in kommenden Versionen folgen.
Die Veröffentlichung erfolgt wenige Wochen nach der Vorstellung von Claude Code Security, das in einer begrenzten Forschungsvorschau verfügbar ist und Schwachstellen mithilfe eines KI-Agenten beheben soll. Man könne nicht garantieren, dass alle von dem Agenten erzeugten Patches gut genug seien, um sofort übernommen zu werden, erklärte Anthropic. Die Aufgaben-Verifizierer gäben jedoch mehr Sicherheit, dass ein Patch die jeweilige Schwachstelle behebe und zugleich die Funktion des Programms erhalte.
Mozilla teilte in einer abgestimmten Ankündigung mit, dass der KI-gestützte Ansatz 90 weitere Fehler zutage gefördert habe, von denen die meisten bereits behoben seien. Dabei handelte es sich um Assertion-Fehler, die sich mit klassischen Fuzzing-Funden überschnitten, sowie um eigene Klassen von Logikfehlern, die den Fuzzern entgangen waren. Der Browserhersteller wertet dies als deutlichen Beleg dafür, dass eine groß angelegte, KI-gestützte Analyse ein wirkungsvolles neues Werkzeug für Sicherheitsingenieure sei.
