В апреле 2025 года команда безопасности Mozilla опубликовала на Mozilla Hacks Blog подробный разбор того, как три разработчика Firefox выстроили агентный ИИ-пайплайн на базе Claude Mythos Preview и за один месяц закрыли 423 уязвимости в браузере. Для сравнения: прежний рекорд составлял 76 уязвимостей за март. Из 423 закрытых проблем 271 нашёл непосредственно Mythos Preview в кодовой базе Firefox 150; ещё около трети из оставшихся 111 внутренних находок тоже пришли из запусков Mythos, но с другими моделями. Лишь 41 уязвимость поступила из внешних отчётов.
Ключевая проблема, которую решала Mozilla, — не дефицит инструментов, а дефицит доверия к ИИ-отчётам. Ещё несколько месяцев назад сообщения об уязвимостях, сгенерированные языковыми моделями, в отрасли называли «ИИ-мусором»: правдоподобно звучащие, но ложные находки, которые отнимали время разработчиков на проверку. Ранние попытки Mozilla анализировать код с помощью GPT-4 и Claude Sonnet 3.5 в режиме чтения без исполнения кода именно так и заканчивались — слишком много ложных срабатываний.
| Источник уязвимостей | Количество |
|---|---|
| Claude Mythos Preview (Firefox 150) | 271 |
| Mythos и другие модели (прочие файлы) | ~37 |
| Традиционные методы (фаззинг и др.) | ~74 |
| Внешние отчёты | 41 |
| Итого закрыто за апрель | 423 |
Переломным моментом стал агентный подход. В отличие от статического анализа, агентный пайплайн даёт модели возможность самостоятельно писать тестовые сценарии и запускать их в изолированной среде, чтобы убедиться: подозрительный участок кода действительно приводит к ошибке. Этот шаг самоверификации отсекает спекуляции ещё до того, как отчёт попадает к человеку. Mozilla начала с Claude Opus 4.6 в небольших ручных запусках, затем масштабировала процесс на множество виртуальных машин, каждая из которых параллельно проверяла отдельный файл. Поверх этого команда выстроила систему дедупликации отчётов, приоритизации находок и отслеживания исправлений вплоть до релиза.
Mozilla закрыла 423 уязвимости за апрель — рекорд; прежний максимум составлял 76 за месяц.
Среди обнаруженных уязвимостей — 15-летний баг в HTML-элементе label, используемом для описания форм, и 20-летний баг в XML-инструменте XSLT. Отдельную категорию составили способы выйти за пределы песочницы — механизма, изолирующего веб-страницы от остальной системы. Один из примеров: HTML-таблица с более чем 65 535 строками вызывала переполнение внутреннего счётчика. Был обойдён даже RLBox — дополнительный слой изоляции Mozilla для сторонних библиотек.
Не менее показательным оказалось то, что модели не смогли сделать. Несколько атак были направлены против техники Prototype Pollution, которую злоумышленники ранее использовали для побега из песочницы. Все они провалились — благодаря архитектурному решению, принятому Mozilla несколько лет назад. Для команды это стало прямым подтверждением того, что существующие защитные механизмы работают, — ценность, которую сложно получить традиционными методами тестирования.
Многие из найденных уязвимостей сами по себе недостаточны для полноценной атаки: их нужно комбинировать с другими слабыми местами. Именно такие цепочечные уязвимости плохо выявляются фаззингом — методом, при котором программа намеренно получает случайные или некорректные входные данные в надежде вызвать сбой. ИИ-анализ покрывает это пространство значительно плотнее. Mozilla намерена встроить пайплайн непосредственно в процесс разработки: каждый новый коммит будет автоматически проверяться до попадания в основную ветку. Сотрудничество с Anthropic началось ещё в феврале, когда Frontier Red Team компании передала Mozilla первую партию уязвимостей, — именно оно и дало старт нынешнему пайплайну.
