Die Zusammenarbeit zwischen künstlichen Intelligenz-Unternehmen und Software-Sicherheitsausrüstung bewegt sich von Theorie zu Praxis, und der Puls zwischen Nutzen und Risiko war nie so sichtbar. In den letzten Wochen hat Anthropic das Ergebnis einer gemeinsamen Arbeit mit Mozilla veröffentlicht: sein Sprachmodell, Claude Opus 4.6, half identifizieren Dutzende von Fehlern im Firefox-Browser, viele von ihnen von hoher Schwerkraft, die bereits begonnen haben, im Update korrigiert werden Firefox 148.
Laut der offiziellen Anmerkung von Anthropic entdeckte die automatisierte und menschlich unterstützte Überprüfung 22 neue Schwachstellen, von denen 14 als hohe Schwere eingestuft wurden, sieben als moderat und eine als niedrig. Die Feststellung erfolgte innerhalb von nur zwei Wochen im Januar 2026 und ist Teil einer größeren Anstrengung, in der das Team automatische Exploration mit manueller Überprüfung und einer sicheren Umgebung kombinierte, um die gemeldeten Fehler wiederherzustellen. Die Veröffentlichung ist auf der Anthropischen Seite auf der Zusammenarbeit mit Mozilla bei Ihre Website.
Am auffälligsten ist nicht nur die Zahl, sondern die Geschwindigkeit und Skala des Prozesses: Anthropic behauptet, dass sein System etwa 6.000 Dateien in C + + gescannt und 112 einzigartige Berichte an Mozilla vorgelegt. Unter den identifizierten Problemen sind typische Beispiele für Software-Engineering, die Priorität erforderten, wie benutzer-end-freie Fehler in JavaScript-Komponenten, ein Ausfall, der es ermöglichen kann, freigegebenen Speicher unsicher wiederzuverwenden und unvorhersehbares Verhalten zu verursachen.
Ein Detail, das die Effizienz des Ansatzes illustriert, ist, dass das Modell einen dieser Fehler in der JavaScript-Engine nach nur zwanzig Minuten der automatisierten Erkundung befindet; dann, ein menschlicher Forscher replizierte und validierte das Problem in einer virtuellen Maschine, um sicherzustellen, dass es kein falsch positives. Diese Kombination aus automatischer Erkennung und fachkundiger Bestätigung ist genau das Rezept für die Integration von IA-Tools in Sicherheitsprozesse ohne menschliche Vorsicht.
Aber nicht alles ist Applaus: Anthropisch testete auch, ob sein Modell diese Fehler in praktische Ausbeutungen verwandeln konnte. Dieses Experiment wurde mehreren hundert Versuchen und etwa $4.000 in API Credits gewidmet. Das Ergebnis zeigt eine wichtige Unterscheidung zwischen der Feststellung und dem Nutzen einer Verwundbarkeit: In nur zwei Fällen gelang es dem System, eine Funktionsexplosion bei den Testbedingungen zu entwickeln. Einer dieser Exploits entspricht der CVE-2026-2796, einem kritischen Problem (mit einem sehr hohen CVSS-Score) im Zusammenhang mit der JIT-Compilation in der JavaScript WebAssembly-Komponente und kann in der NIST-Vulnerability-Datenbank in NVD.
Es ist wichtig zu betonen, wie das Prüflabor eingerichtet wurde: Anthropic gibt zu, dass, um Experimente zu erleichtern, einige Sicherheitsschichten - wie Sandboxing - in der Umgebung deaktiviert wurden, wo die Exploits versucht wurden. Dieser Faktor reduziert die Bedeutung eines Erfolgs in diesen Tests, da Schwachstellen, die in einer abgebauten Umgebung ausbeutbar sind, möglicherweise nicht in der Standardkonfiguration eines modernen Browsers liegen; aber die Tatsache, dass ein Modell in der Lage ist, Betriebscode unter kontrollierten Bedingungen zu erzeugen, hebt legitime Fragen über die Leichtigkeit, mit der automatisierte Werkzeuge gefährlichen technischen Fortschritt machen.
Neben der Suche und in einigen Fällen der Ausbeutung von Fehlern versuchte Anthropic einen anderen Weg: Füttern des Modells mit Sicherheitsberichten und bitten ihn, plausible Patches oder Korrekturen zu schreiben. Diese Arbeitslinie steht im Einklang mit seiner jüngsten Mitteilung über Claude Code Security, einer Initiative zur Verwendung von automatisierten Agenten, die Vorkehrungen vorschlagen und überprüfen, ob die Korrekturen das Problem lösen, ohne bestehende Funktionalitäten zu brechen. Das Unternehmen erkennt mit technischer Ehrlichkeit, dass nicht alle von Agenten generierten Patches wie in einer Produktionscodebasis integriert werden können, aber Verifikationssysteme erhöhen das Vertrauen, dass die Lösung den spezifischen Fehler zumindest mildert.
Mozilla hat ihrerseits die Ergebnisse als Demonstration des Mehrwerts kontextualisiert, den diese Techniken bieten. In ihrem koordinierten Eintrag erklären sie, dass die von IA unterstützte Analyse eine zusätzliche 90 Vorfälle entdeckte, viele von ihnen bereits korrigiert, von gescheiterten Behauptungen - Probleme, die auch oft mit Fuzzing-Techniken erscheinen - zu Logikfehlern, die herkömmliche Fuzzer nicht erfasst hatten. Auf Ihrem offiziellen Blog Mozilla beschreibt wie die Kombination aus strengem Engineering und neuen Analysewerkzeugen eine kontinuierliche Verbesserung der Sicherheit ermöglicht.
Welche praktischen Lehren ergeben sich daraus? Erstens, dass IA ein leistungsfähiges Werkzeug ist, um den Umfang der Code-Analyse zu erweitern: Sie erkennen High-Speed-Muster und Limit-Fälle, aber sie brauchen oft menschliche Überwachung, um die Ergebnisse zu validieren, zu priorisieren und zu korrigieren. Zweitens, dass die Identifizierung einer Verwundbarkeit und der Aufbau einer nützlichen Explosion Aufgaben unterschiedlicher Komplexität sind; die automatische Generierung von Exploits ist nun nach eigenen Experimenten von Anthropic teurer und weniger zuverlässig als die Erkennung von Fehlern. Und drittens, die Art und Weise, wie Testumgebungen aufgebaut sind, kann die Reduzierung von Sicherheitsbarrieren die Forschung beschleunigen, aber es gibt auch ein voreingenommenes Bild der realen Nutzungsfähigkeit.
In der öffentlichen und technischen Debatte, die solche Initiativen eröffnet, gibt es Raum für Optimismus und Vorsicht. Der verantwortungsvolle Einsatz von Sicherheits-IA-Modellen beinhaltet klare Offenlegungsvereinbarungen, kontrollierte Umgebungen, eine Expertenprüfung und eine enge Abstimmung mit den betroffenen Software-Betreuern. Mozilla und Anthropic haben diesem Weg gefolgt, indem sie koordiniert arbeiten und Patches erleichtern, und der Prozess ist mit der Veröffentlichung von Korrekturen in der neuesten Version des Browsers und mit offiziellen Mitteilungen über Schwachstellen, gesammelt von Mozilla Sicherheitshinweise auf Ihr Sicherheitshinweis.
Die letzte Lektion für Nutzer und Sicherheitsbeamte ist klar: IA-Tools erweitern das Verteidigungsrepertoire, ersetzen aber nicht die Notwendigkeit von guten Praktiken, menschliche Bewertungen und ständige Updates. Das Aktualisieren des Browsers bleibt die erste Verteidigungslinie, während die Teams hinter kritischen Projekten untersuchen, wie automatisierte Modelle integriert werden können, ohne neue Risikofenster zu öffnen.
Wenn Sie die technischen Details und die operativen Berichte, die Anthropic veröffentlicht, eingeben möchten, ist Ihr Bericht über das Experiment in Ihrem technischen Raum verfügbar. Anthropisches Netzwerk, und die Release Notes von Firefox 148 sind auf der offiziellen Browser-Seite.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...