Mozilla опубликовала пост с говорящим названием «The zero-days are numbered» — и заявила, что языковая модель Mythos от Anthropic выявила в браузере Firefox 150 271 уязвимость. Параллельно в публичном пространстве закрепилась цифра «до 20 000 долларов» — якобы столько стоит один найденный моделью баг. Оба тезиса требуют уточнения.
Mythos — большая языковая модель Anthropic, позиционируемая как инструмент для автономного поиска уязвимостей в коде. В отличие от обычных ИИ-ассистентов, она способна самостоятельно анализировать кодовую базу, формировать гипотезы об уязвимостях и проверять их в итеративных прогонах. Сумма «до 20 000 долларов» фигурирует в собственном отчёте Anthropic, но относится к совокупности тысячи взаимодополняющих прогонов, по итогам которых было найдено несколько десятков трофеев — не к одному катастрофическому багу.
| CVE | Описание | Количество багов |
|---|---|---|
| CVE-2026-6746 | Use-after-free в DOM: Core & HTML component | 1 |
| CVE-2026-6784 | Memory safety bugs в Firefox 150 и Thunderbird 150 | 55 |
| CVE-2026-6785 | Memory safety bugs в Firefox ESR 115.35, ESR 140.10, Thunderbird ESR 140.10, Firefox 150, Thunderbird 150 | 154 |
| CVE-2026-6786 | Memory safety bugs в Firefox ESR 140.10, Thunderbird ESR 140.10, Firefox 150, Thunderbird 150 | 107 |
Автор разбора несколько часов изучал историю коммитов Firefox, консультативные CVE-отчёты и связанные баги, а также написал собственный инструмент для группировки коммитов, багов и затронутых подсистем. Результат: цифра 271 от Mozilla, список ID из Bugzilla, CVE-записи и отдельные коммиты — это разные множества, которые нельзя напрямую приравнивать друг к другу.
Четыре CVE-записи, связанные с релизом, суммарно ссылаются на 317 багов — и охватывают также Thunderbird и ESR-версии, а не только Firefox 150.
Четыре CVE-записи, упомянутые в консультативных заключениях к релизу, суммарно ссылаются на 317 багов. Но они охватывают не только Firefox 150, но и Thunderbird, и ESR-версии браузера. CVE-2026-6746 (use-after-free в DOM) указывает на 1 баг, CVE-2026-6784 — на 55, CVE-2026-6785 — на 154, CVE-2026-6786 — на 107. Прямое сравнение этих чисел с тезисом Mozilla о 271 уязвимости некорректно уже по этой причине.
Статистика по окну разработки между метками FIREFOX_BETA_149_END и FIREFOX_BETA_150_END выглядит так: 6 115 коммитов, 3 209 ID багов, 252 высокоприоритетных кандидата, 301 баг с CVE-пометкой, изменение 3 438 679 строк кода. Медианный патч — 52 строки, средний — 562 строки, самый крупный — 480 735 строк. Эти цифры описывают весь интервал разработки Firefox 150, а не изолированный набор правок Mythos.
Отдельный вопрос — что считать уязвимостью. Поле эксплойта в браузере — это спектр от безобидного бага корректности до полноценной цепочки эксплойта. Часть патчей, попавших в CVE-записи, касается предотвращения разыменования нуля — это важно для стабильности, но не является эксплуатируемой уязвимостью в строгом смысле. Проблемы с безопасностью памяти, ошибки жизненного цикла, условия гонки и некорректное владение — паттерны, которые инфобез устраняет превентивно, до того как ими воспользуется злоумышленник. Но даже неэксплуатируемый баг может сузить зону безопасности или стать частью составной атаки.
Автор также отмечает, что многие коммиты, связанные с найденными багами, появились за дни и недели до публикации отчёта Anthropic — очевидный пик пришёлся на 2 апреля, тогда как часть правок датирована 5 марта. Это стандартная задержка агрегации консультативных заключений, а не свидетельство манипуляции данными.
Вывод разбора осторожный: Mythos действительно находит баги, и масштаб работы по Firefox 150 значителен. Но публичные данные не позволяют подтвердить тезис в его наиболее сильной формулировке — о том, что ИИ кардинально изменил баланс сил между злоумышленниками и защитниками. Для специалиста по информационной безопасности большинство найденных проблем реальны и важны. Для злоумышленника, которому нужна готовая цепочка эксплойта, планка значительно выше.
