Результат эксперимента
Компания Anthropic в сотрудничестве с Mozilla запустила тест, в ходе которого модель Claude Opus 4.6 проанализировала код браузера Firefox. За две недели ИИ обнаружил 22 уязвимости, из которых 14 классифицированы как критические. Часть найденных проблем уже исправлена в обновлении Firefox 148 (февраль).
Ключевые детали
Модель начала работать с кодом и менее чем за 20 минут нашла одну из ошибок типа use-after-free в компоненте, связанном с выполнением JavaScript. В процессе анализа Claude просмотрела около 6000 файлов на C++ и отправила более 100 отчётов команде Mozilla.
Anthropic также тестировала возможность создания эксплойтов — специального кода для реализации найденных уязвимостей. Несмотря на сотни тестов и примерно $4000 расходов на API, работоспособные эксплойты удалось получить только в двух случаях.
"Результаты демонстрируют, что ИИ может стать мощным дополнительным инструментом для постоянного мониторинга безопасности сложного ПО, но требует чётких правил использования и контроля"
— исследователи Anthropic
"Большинство найденных проблем уже исправлено в обновлении Firefox 148"
— представитель Mozilla
Риски и ограничения
Эксперимент показал две ключевые тезы. Во-первых, ИИ способен значительно ускорить поиск уязвимостей и сократить ресурсы на ревью кода. Во-вторых, техническая способность может быть двусмысленной: тот же ИИ, который помогает закрывать баги, потенциально способен помочь создать эксплойты. В этом контексте важны не только технические результаты, но и политика доступа, аудит и контроль за применением моделей.
На сферу регулирования накладывается и геополитический аспект: модель Claude попала в «чёрный список» Пентагона, а также были сообщения о том, что некоторые китайские компании обучали собственные модели на Claude без согласия Anthropic. Это подчёркивает проблему интеллектуальной собственности и риски распространения технологий без контроля.
Что это означает для Украины
Во-первых, для украинских разработчиков и государственных служб это сигнал: инвестировать в инструменты на базе ИИ для поиска уязвимостей — разумно и эффективно. Во-вторых, следует учитывать прогнозируемый рост доступности таких инструментов в руках противника: автоматизация поиска багов может ускорить кибератаки на критическую инфраструктуру. Наконец, это аргумент в пользу международного сотрудничества в сфере кибербезопасности и чётких правил передачи и использования моделей.
Вывод
Эксперимент Anthropic и Mozilla — пример того, как искусственный интеллект может изменить практику обеспечения безопасности программного обеспечения: быстрее выявлять проблемы, но и создавать новые вызовы для контроля и этики. Для Украины это шанс усилить защиту цифровой инфраструктуры и в то же время напоминание о необходимости политики, которая отделит полезное от опасного.
