Mozilla 基金會近日公開了一項令人驚艷的資安成果 。透過與 Anthropic 合作,在短短兩週內利用 Claude AI 輔助開發的漏洞挖掘技術,成功在 Firefox 瀏覽器中發現超過 100 個安全與穩定性問題,其中更包含 14 個被歸類為「高危險」等級的安全性漏洞 。
目前,所有高危險漏洞已獲分配 22 個獨立的 CVE 編號,並在最新的 Firefox 148.0 版本中全數修復完成 。
AI 深入 JavaScript 引擎,自動生成測試案例加速修復
這次合作是由 Anthropic 的資安研究團隊(Frontier Red Team)主動發起 。他們帶著一套全新的 AI 輔助「挖洞」方法聯繫 Mozilla,並在 Firefox 上進行初步測試,結果成效顯著 。
技術層面上,Anthropic 團隊將目標鎖定在瀏覽器最核心、也最複雜的 JavaScript 引擎 。
-
針對性強:由於 Firefox 是開源軟體,其程式碼庫長期受外界審查,非常適合測試新的分析技術 。
-
效率極高:AI 系統不僅能挖出缺陷,還能自動生成「最小化測試範例」,協助開發者快速重現問題並修復 。
-
成果豐碩:除了 14 個高風險漏洞外,AI 還抓到了約 90 個低優先級的缺陷,目前多數已陸續修正 。
告別「AI 幻覺」!高品質報告減輕開發者負擔
Mozilla 特別指出,這次 Claude AI 提供的報告品質極高,與過去常見的「AI 垃圾報告」截然不同 。
先前如 curl 等大型開源專案,常收到使用者利用 AI 批量產出、充滿「幻覺」且品質低劣的漏洞報告,只為了騙取獎金,導致維護者負擔沉重 。相比之下,Claude AI 產出的內容可重現性強,真正幫助到了開發團隊 。
此外,雖然傳統的「模糊測試」(fuzzing)能透過大量異常輸入找漏洞,但 AI 展現了理解「程式邏輯」的優勢,成功捕捉到傳統工具難以命中的邏輯漏洞 。
AI 成為資安防禦的新防線
這不是 AI 第一次參與程式碼審查,但兩週內產出 22 個 CVE 的效率確實驚人。Mozilla 甚至計畫將這套 AI 輔助流程常態化,融入未來的開發工作流中 。
在 Firefox 148 版本中,Mozilla 不僅在底層利用 AI 加固安全,還加入了 AI 開關選項,讓使用者能更精細地控制瀏覽器內的 AI 功能 。這顯示出 Mozilla 在擁抱新技術的同時,依舊堅持其重視「使用者控制權」的核心價值。對於開源社群來說,這或許是一個突破技術天花板、發掘深層漏洞的新契機 。
- 延伸閱讀:Firefox 瀏覽器終於支援 Matroska/MKV 格式影片播放
- 延伸閱讀:睽違多年,Firefox 終於再次實驗性支援 PWA,這次能成功嗎?
- 延伸閱讀:Firefox 受夏季熱浪影響崩潰率大增,官方統計點名主要禍首為 Raptor Lake 處理器
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!