Vetenskap

Claude hittar 22 sårbarheter i Firefox på två veckor

Samarbete mellan Anthropic och Mozilla ger 14 allvarliga fynd som mestadels täpps till i Firefox 148, felsökning blir billigare än åtgärder och underhållet riskerar drunkna i rapporter

Bilder

Image Credits:Anthropic Image Credits:Anthropic techcrunch.com
Russell Brandom Russell Brandom techcrunch.com
Popular AI virtual assistant apps on an Apple iPhone: ChatGPT, Claude, Gemini, Copilot, Perplexity, and Poe. Popular AI virtual assistant apps on an Apple iPhone: ChatGPT, Claude, Gemini, Copilot, Perplexity, and Poe. techcrunch.com
techcrunch.com
Jensen Huang holds up chip at CES 2025 Jensen Huang holds up chip at CES 2025 techcrunch.com

Anthropic uppger att företagets språkmodell Claude Opus 4.6 på två veckor hittade 22 sårbarheter i webbläsaren Firefox, varav 14 bedömdes som ”allvarliga”, inom ramen för ett säkerhetssamarbete med Mozilla, enligt TechCrunch. De flesta rättningarna följde med Firefox 148 i februari, medan några få sköts till nästa utgåva.

Siffran i rubriken smickrar berättelsen, men den viktigare förändringen är praktisk: upptäckt blir billigare och snabbare än åtgärd. Anthropic började i Firefox JavaScript-motor och breddade sedan sökningen till resten av programkoden, medvetet med Firefox som mål eftersom projektet både är stort och hårt granskat. Det var alltså inte ett bortglömt sidoprojekt, utan en av nätets mest angripna och mest genomlysta öppna programvaror. Om ett automatiserat arbetssätt ändå kan få fram dussintals problem där, flyttas flaskhalsen nedströms till sortering, granskning av rättningar, återfallstester och utgivningsstyrning.

Den obalansen syns även i Anthropics egna resultat. Claude var betydligt bättre på att peka ut möjliga sårbarheter än på att ta fram fungerande angreppskod. Gruppen lade enligt TechCrunch omkring 4 000 dollar i användningskrediter på att försöka skapa demonstrationsangrepp och lyckades bara i två fall. För försvarare låter det lugnande: modellen kan visa sprickor utan att pålitligt göra dem till vapen. För förvaltare av programvaran är trycket av ett annat slag. Ett verktyg som producerar många trovärdiga fynd – några akuta, några fel, några dubbletter – kan dränka samma begränsade krets människor som redan i dag sköter säkerhetssorteringen på kvällar och helger.

Säkerheten i öppen programvara har länge vilat på en obalans mellan antalet som kan rapportera fel och antalet som kan rätta dem ansvarsfullt. När kostnaden för ”felupptäckt” sjunker, går obalansen från tillfälliga toppar till en jämn ström. Det förändrar också drivkrafterna. Om ett projekt blir känt som ”lätt att maskinsöka” kan det locka fler automatiserade rapporter, mer brus och fler krav på snabba tidsfrister för offentliggörande – utan att rättningskapaciteten ökar. Omvänt kan organisationer som kör sådana verktyg frestas att behandla säkerhet som en inköpspost: köp mer genomsökning och anta att risken därmed minskar.

Angriparsidan behöver inte samma arbetsflöde för att vinna på utvecklingen. Även om Claude hade svårt att skriva angreppskod kan samma typ av modeller automatisera förståelsen av programkod, hitta misstänkta mönster och krympa sökområdet för människor som utvecklar angrepp professionellt. När upptäckt skalar och utnyttjande delvis skalar, blir begränsningen hur snabbt programvaruteam kan leverera säkra rättningar utan att samtidigt förstöra annat.

Firefox 148 tog emot merparten av rättningarna. Nästa fråga för dem som förvaltar projektet är om tvåveckorsgenomsökningen blir en månatlig rutin – och vad som händer när rapporterna börjar komma snabbare än nya utgåvor hinner släppas.