Результат експерименту
Компанія Anthropic у співпраці з Mozilla запустила тест, під час якого модель Claude Opus 4.6 проаналізувала код браузера Firefox. За два тижні ШІ виявив 22 вразливості, з яких 14 класифіковані як критичні. Частина знайдених проблем уже виправлена в оновленні Firefox 148 (лютий).
Ключові деталі
Модель почала працювати з кодом і менш ніж за 20 хвилин знайшла одну з помилок типу use-after-free у компоненті, пов’язаному з виконанням JavaScript. У процесі аналізу Claude переглянула близько 6000 файлів на C++ і надіслала понад 100 звітів команді Mozilla.
Anthropic також тестувала можливість створення експлойтів — спеціального коду для реалізації знайдених уразливостей. Попри сотні тестів і приблизно $4000 витрат на API, працездатні експлойти вдалося отримати лише у двох випадках.
"Результати демонструють, що ШІ може стати потужним додатковим інструментом для постійного моніторингу безпеки складного ПЗ, але потребує чітких правил використання та контролю"
— дослідники Anthropic
"Більшість знайдених проблем уже виправлено в оновленні Firefox 148"
— представник Mozilla
Ризики та обмеження
Експеримент показав дві ключові тези. По-перше, ШІ здатен значно прискорити пошук уразливостей і знизити ресурси на рев’ю коду. По-друге, технічна спроможність може бути двозначною: те саме ШІ, що допомагає закривати баги, потенційно здатне допомогти створити експлойти. У цьому контексті важливі не лише технічні результати, а й політика доступу, аудит та контроль за застосуванням моделей.
На полі регулювання накладається й геополітичний вимір: модель Claude потрапила до «чорного списку» Пентагону, а також були повідомлення про те, що деякі китайські компанії навчали власні моделі на Claude без згоди Anthropic. Це підкреслює проблему інтелектуальної власності та ризиків розповсюдження технологій без контролю.
Що це означає для України
По-перше, для українських розробників і державних служб це сигнал: інвестувати в інструменти на базі ШІ для пошуку вразливостей — розумно і ефективно. По-друге, треба враховувати прогнозоване зростання доступності таких інструментів у руках противника: автоматизація пошуку багів може пришвидшити кібератаки на критичну інфраструктуру. Нарешті, це аргумент на користь міжнародної співпраці у сфері кібербезпеки та чітких правил передачі й використання моделей.
Висновок
Експеримент Anthropic і Mozilla — приклад того, як штучний інтелект може змінити практику забезпечення безпеки програмного забезпечення: швидше виявляти проблеми, але й створювати нові виклики для контролю та етики. Для України це шанс посилити захист цифрової інфраструктури та водночас нагадування про необхідність політики, яка відокремить корисне від небезпечного.
