A legtöbb kritikus hibát már kijavították a Firefox 148 frissítésben, amely 2026 február végén jelent meg.
Egy közös kutatási projekt a Anthropic és a Mozilla között jelentős eredményt hozott: az AI-alapú biztonsági elemzés 22 korábban ismeretlen sérülékenységet talált a Mozilla Firefox böngészőben.
A kutatás során az Anthropic legújabb modelljét, a Claude Opus 4.6-ot használták. A két hetes elemzés során a rendszer több ezer forráskód-fájlt vizsgált át, és több mint száz hibajelentést készített.
A felfedezett sérülékenységek súlyossága
A feltárt hibák több biztonsági kategóriába tartoznak.
Összesen:
- 14 magas súlyosságú
- 7 közepes
- 1 alacsony kockázatú
A kutatók szerint a 14 magas súlyosságú hiba a 2025-ben javított Firefox high-severity sérülékenységek közel 20%-ának felel meg, ami jól mutatja az AI-alapú elemzés hatékonyságát.
Egy kritikus hiba 20 perc alatt
A kutatás egyik legmeglepőbb eredménye az volt, hogy a modell mindössze 20 perc alatt talált egy komoly hibát.
Ez egy klasszikus use-after-free memóriahiba volt a Firefox JavaScript motorjában.
Ez a típusú hiba akkor keletkezik, amikor:
- a program felszabadít egy memóriaterületet
- de később még mindig hivatkozik rá
Ezt támadók gyakran kihasználják:
- kódfuttatásra
- alkalmazás összeomlasztására
- böngésző kompromittálására
Több ezer forráskódfájl elemzése
A projekt során a Claude AI:
- közel 6000 C++ forrásfájlt elemzett
- 112 potenciális sérülékenységet jelentett a Mozilla felé
Ezek közül sok:
- kisebb logikai hiba
- strukturális probléma
- vagy információs jellegű bug volt
A Mozilla szerint a legtöbb komoly hiba már javításra került a Firefox frissítésekben.
Megpróbáltak exploitot is generálni
A kutatás egy másik érdekes része az volt, hogy a kutatók megpróbálták az AI-t exploit fejlesztésére használni.
A kísérlet során:
- több száz próbálkozás történt
- kb. 4000 dollár API költséget használtak el
Az eredmény:
👉 csak két esetben sikerült működő exploitot generálni
Ez azt mutatja, hogy:
- a sérülékenység felismerése viszonylag könnyebb
- a megbízható exploit fejlesztése sokkal bonyolultabb
Kritikus WebAssembly sérülékenység
Az egyik sikeres exploit a következő hibát használta ki:
CVE-2026-2796
CVSS pontszám:
9.8 (kritikus)
A hiba a böngésző WebAssembly JIT fordítójában volt.
A JIT fordítás a böngészők teljesítményét növeli, de ha hibásan működik:
- váratlan kódfuttatás
- memóriakorrupció
- sandbox megkerülése
is előfordulhat.
A teszt során azonban a sandbox védelmet szándékosan kikapcsolták.
AI alapú hibajavítás
Az Anthropic egy új kutatási platformot is fejleszt:
Claude Code Security
Ez képes:
- sérülékenységek felismerésére
- javító patch generálására
- automatikus tesztelésre
Egy úgynevezett task verification rendszer ellenőrzi, hogy:
- a patch valóban javítja a hibát
- nem rontja el a program működését
AI + fuzzing kombináció
A Mozilla szerint az AI több olyan hibát talált, amelyeket a klasszikus tesztelési módszerek nem.
A hagyományos technikák közé tartozik például a:
fuzzing
Ez véletlenszerű bemenetekkel próbál hibát kiváltani.
Az AI azonban képes:
- logikai hibák
- architekturális problémák
- kódszerkezeti gyengeségek
azonosítására is.
Mit jelent ez a kiberbiztonság jövőjére nézve?
A kutatás egy fontos trendet mutat:
👉 az AI egyre fontosabb szerepet kap a biztonsági kutatásban.
Előnyök:
- gyorsabb vulnerability discovery
- nagy kódbázisok elemzése
- korai hibafelismerés
Ugyanakkor kockázatok is vannak:
- támadók is használhatják
- exploit fejlesztés automatizálható
- vulnerability discovery felgyorsulhat
Következtetés
A Mozilla és Anthropic közös kutatása megmutatta, hogy az AI már most komoly segítség lehet a szoftverbiztonságban.
Az eredmények szerint az AI:
- gyorsan képes hibákat azonosítani
- de exploit fejlesztésben még korlátozott
A jövőben várhatóan a humán biztonsági kutatók és az AI rendszerek együttműködése lesz a szoftverbiztonság egyik legfontosabb eleme.
