tinAI
Go back

Hợp tác với Mozilla để nâng cao bảo mật của Firefox

Bài gốc: Partnering with Mozilla to improve Firefox’s security

Tác giả: Unknown

Ngày đăng: Dịch ngày:

TL;DR

Claude Opus 4.6 đã phát hiện 22 lỗ hổng trong Firefox chỉ trong hai tuần, cho thấy tiềm năng của AI trong việc cải thiện bảo mật phần mềm. Hợp tác với Mozilla cho phép giảm đáng kể thời gian phát hiện và khắc phục các lỗ hổng bảo mật nghiêm trọng.

Hợp tác phát hiện lỗ hổng

Các mô hình AI hiện có khả năng tự động phát hiện các lỗ hổng bảo mật nghiêm trọng trong phần mềm phức tạp. Claude đã tìm ra hơn 500 lỗ hổng “zero-day” trong các phần mềm nguồn mở được kiểm thử kỹ lưỡng.

Trong bài viết này, chúng tôi chia sẻ chi tiết về hợp tác với các nhà nghiên cứu tại Mozilla, nơi Claude Opus 4.6 phát hiện được 22 lỗ hổng chỉ trong hai tuần. Trong số này, Mozilla đã gán 14 trong số đó là lỗ hổng bảo mật nghiêm trọng.

Image 1

Firefox đã nhận được hàng loạt báo cáo từ chúng tôi, giúp phát triển và phát hành các bản sửa lỗi cho hàng trăm triệu người dùng.

Đánh giá và phát triển

Cuối năm 2025, chúng tôi nhận ra Opus 4.5 gần như đã giải quyết được tất cả các nhiệm vụ trong CyberGym và xây dựng một tập dữ liệu với các CVE của Firefox. Claude có thể tái tạo một tỷ lệ lớn các CVE lịch sử này.

Claude đã tìm kiếm các lỗ hổng mới trong phiên bản hiện tại của Firefox, đặc biệt là trong động cơ JavaScript. Sau 20 phút, Claude đã phát hiện một lỗ hổng Use After Free và tiếp tục khám phá nhiều lỗ hổng khác.

Khi làm việc với phần mềm bên ngoài, chúng tôi luôn cảnh giác với việc có thể bỏ sót điều gì đó quan trọng, và Mozilla đã giúp chúng tôi điều chỉnh quy trình gửi báo cáo lỗi.

Khả năng khai thác lỗ hổng

Chúng tôi đã thử nghiệm liệu Claude có thể khai thác bất kỳ lỗ hổng nào đã phát hiện bằng cách phát triển các công cụ giống như của hacker. Dù đã chi tiêu đáng kể, Opus 4.6 chỉ có thể biến hai lỗ hổng thành khai thác thực tế, cho thấy chi phí và độ khó của công việc này.

Tương lai của bảo mật dựa trên AI

Chúng tôi đang phát triển các công cụ ‘task verifiers’ để cải thiện mức độ tin tưởng của các bản vá lỗi được tạo bởi AI. Ngay cả khi các bản vá do AI tạo ra không thể đảm bảo hoàn toàn nhưng chúng cung cấp sự tin cậy để loại bỏ các lỗ hổng mà không ảnh hưởng đến chức năng của chương trình.

Người phát triển phần mềm nên chú ý đến việc tăng cường bảo mật phần mềm của mình, và chúng tôi sẽ mở rộng các nỗ lực về an ninh mạng bao gồm phát hiện lỗ hổng và đề xuất bản vá.

Nếu bạn quan tâm đến việc hỗ trợ nỗ lực an ninh của chúng tôi, hãy xem thông tin ứng tuyển tại Anthropic.

Read Original (EN) Quay lại Newsletter