Anthropic и Mozilla провели совместный эксперимент: модель Claude Opus 4.6 за две недели нашла 22 уязвимости в Firefox, 14 из которых оказались критичными. Это почти пятая часть всех серьёзных дыр, закрытых в браузере за весь прошлый год. Тестирование прошло в январе. Claude начал с JavaScript-движка и за 20 минут обнаружил первую проблему use-after-free. Модель просканировала около 6000 файлов на C++ и выдала 112 отчётов, помимо CVE, нашлись десятки багов, которые традиционный фаззинг не засёк. Самая опасная уязвимость CVE-2026-2796 с оценкой 9.8 по CVSS. Ошибка в JIT-компиляции WebAssembly теоретически позволяет выполнить произвольный код. Anthropic потратила $4000 на попытки написать эксплойты, но только два сработали, и то лишь в тестовой среде с отключённой песочницей. В реальных условиях защита Firefox устояла. Интересный контраст: создатель CURL Даниэль Стенберг в феврале закрыл программу bug bounty из-за лавины ИИ-мусора, ни один автоматический отчёт за шесть лет не нашёл реальной дыры в его проекте. Разница в том, что Anthropic работала с Mozilla напрямую, а не через автоматизированную подачу. Mozilla уже закрыла большинство найденных уязвимостей в Firefox 148, вышедшем в конце февраля. Anthropic тем временем запустила в превью сервис Claude Code Security для автоматического поиска и исправления багов. Пользователям стоит обновиться до версии 148 или новее. ITsec NEWS