ИИ против Firefox: 22 уязвимости за один присест
Что если бы ваша работа по аудиту безопасности сводилась к тому, чтобы скормить код браузера нейросети и ждать результатов? Звучит как фантастика, но именно это произошло с Firefox. Claude 3.5 Opus, флагманская модель Anthropic на начало 2026 года, завершила автономный аудит кода Firefox и выявила 22 ранее неизвестные уязвимости. Никаких людей-пентестеров, только чистый ИИ и его «мышление».
Кто и как это сделал?
Группа исследователей из Stanford в феврале 2026 года взяла последнюю на тот момент сборку Firefox 128, дала Claude Opus доступ к исходному коду движка JavaScript SpiderMonkey и сказала: «Ищи проблемы». Не по шаблону, не по списку CWE, а так, как это сделал бы опытный, но безжалостно педантичный аудитор. Модель анализировала миллионы строк кода, строила графы вызовов, искала race condition, переполнения буферов и ошибки логики.
Цена вопроса: $4200 и 72 часа
Вот что смущает больше всего. Полный аудит сложнейшего браузерного движка обошёлся в $4200 за API-запросы к Claude Opus и занял трое суток непрерывной работы. Для сравнения: команда из трёх senior-аудиторов потратила бы на подобный объём минимум два месяца и стоили бы их услуги в разы дороже. Экономика безопасности только что получила прямой удар ниже пояса.
- Скорость: 72 часа против 60+ дней.
- Масштаб: ИИ не устаёт и не теряет концентрацию на 10-м часу работы.
- Покрытие: Модель проверяет код, который человек мог бы пропустить из-за усталости или предвзятости.
- Но: Claude Opus пропустил несколько сложных уязвимостей, связанных с асинхронной обработкой событий в UI — тут всё ещё нужен человеческий мозг.
Mozilla в тихом ужасе: патчи уже летят
Реакция команды безопасности Mozilla была предсказуемой: шок, затем паника, затем срочный выпуск патчей. На 6 марта 2026 года 15 уязвимостей уже закрыты в стабильной версии Firefox 129. Остальные исправят до конца месяца. Интересный побочный эффект: инженеры Mozilla теперь требуют включить автоматизированный ИИ-аудит в CI/CD пайплайн для каждой новой фичи. И их можно понять.
Этот кейс — не просто демонстрация силы ИИ. Это красный флаг для всей индустрии. Если коммерческая модель за $4200 может за три дня найти столько критических дыр в одном из самых аудируемых браузеров мира, что скрывается в вашем enterprise-коде, который последний раз смотрел уставший contractor пять лет назад?
Обратная сторона медали: ИИ-аудит создаёт новые риски
Пока Claude Opus ищет баги в Firefox, другие могут использовать те же модели для обратного — автоматизации поиска уязвимостей для их эксплуатации. Граница между защитником и атакующим стирается. Методы, которые исследователи из Stanford использовали для аудита, ровно те же, что хакер может применить для подготовки zero-day атаки. Это превращает безопасность в гонку вооружений, где победит тот, у кого быстрее GPU и толще кошелёк для API-запросов.
Недавние случаи, вроде взлома Copilot через один клик или jailbreak SAFi агента, показывают, что сами ИИ-системы — лакомые цели. А теперь представьте, что такой ИИ нацелится на поиск уязвимостей в других ИИ. Мета-уровень угроз зашкаливает.
Что делать? Совет от того, кто видел много «революций»
Не спешите увольнять команду безопасности. Вместо этого — интегрируйте ИИ-аудит как дополнительный, обязательный слой. Пусть Claude Opus или его конкуренты (в 2026 году уже есть десятки специализированных моделей для аудита кода) сканируют каждый коммит. Но финальное решение о критичности бага и методе исправления оставляйте за человеком.
И да, обновите ваши процессы. Если вы до сих пор не проверяете зависимости на уязвимости автоматически — вы уже в глубоком отставании. История с фиаско Claude Code — лучший урок о слепом доверии к машине.
Мой прогноз? К концу 2027 года каждая серьёзная компания будет иметь в штате не только красную и синюю команды, но и «команду ИИ-аудита» — специалистов, которые не пишут код, а управляют нейросетями, которые этот код ломают. И да, спрос на prompt-инженеров, умеющих «договариваться» с Claude о поиске багов, взлетит до небес. Но это уже другая история, вроде той, что про кражу промптов прямо из браузера.
А пока — проверьте, обновлён ли у вас Firefox.
