得益于Anthropic的AI及其漏洞检测能力,Firefox用户现在可以享受更强的安全性。不过,如果问题是浏览器崩溃而非安全漏洞,Claude可能帮不上忙。
Mozilla工程师Gabriele Svelto在最近的Mastodon帖子中表示,他认为约10%的Firefox浏览器崩溃可归因于位翻转——内存中的意外变化——而非软件错误。
位翻转可能由多种因素引起,例如宇宙射线和Rowhammer攻击。但通常原因更为平常——有缺陷的电子元件。
"今天我查看了这些测试产生的数据,现在我百分之百确信……我们看到的许多崩溃来自内存损坏或类似不稳定硬件的用户,"他说。
Svelto表示,在过去一周内,Mozilla收到了约47万份来自Firefox用户的崩溃报告,这仅涵盖了选择加入崩溃报告的用户。他说,其中约2.5万份看起来可能是位翻转。
"这意味着每二十次崩溃中就有一次可能由损坏/不稳定的内存引起,这个比例很大!"他说。"而且因为这是一个保守的启发式方法,我们低估了真实数字,实际可能至少是两倍。"
他还表示,如果减去资源耗尽(如内存不足)导致的崩溃,可归因于硬件的崩溃比例会上升到约15%。
Svelto说,虽然他的研究主要集中在计算机和手机上,但这些问题存在于每个设备中,例如路由器和打印机。
这不是人们第一次对硬件错误率感到震惊。谷歌研究人员在2009年研究其数据中心的DRAM错误时惊讶地发现,DRAM错误率"比之前报告的高出几个数量级,每十亿设备小时每兆位有25,000到70,000个错误,每年超过8%的DIMM受到错误影响。"
位翻转超出了Mozilla的控制范围,但该公司已经能够在Anthropic红队的帮助下加固其软件。
Mozilla工程师Brian Grinstead和Christian Holler在一篇博客文章中表示,几周前,Anthropic带着一个新的基于AI的漏洞检测系统接触了Firefox团队。
他们说,之前使用AI辅助漏洞检测系统的结果好坏参半,但这次不同。
"几小时内,我们的平台工程师就开始修复问题,我们与Anthropic展开了紧密合作,将同样的技术应用于浏览器代码库的其余部分,"他们说。"总共,我们发现了14个高严重性漏洞,并因此发布了22个CVE。所有这些漏洞现在都已在最新版本的浏览器中修复。"
Anthropic表示,它使用最近的Claude Opus 4.6模型完成了这一壮举,甚至让其AI模型为现已修补的漏洞之一(CVE-2026-2796)生成了一个可工作的漏洞利用程序。
"需要明确的是,Claude编写的漏洞利用程序仅在测试环境中有效,该环境故意移除了现代网络浏览器的一些安全功能,"安全研究人员Evyatar Ben Asher、Keane Lucas、Nicholas Carlini、Newton Cheng和Daniel Freeman在博客文章中解释道。"Claude还不能编写结合多个漏洞以逃离浏览器沙箱的'全链'漏洞利用程序,而这些才是真正会造成危害的。"
但那一刻可能不会太远。
"从进展速度来看,前沿模型在漏洞发现和利用能力之间的差距不太可能持续很长时间,"Anthropic说。"如果未来的语言模型突破这一利用障碍,我们将需要考虑额外的保障措施或其他行动,以防止我们的模型被恶意行为者滥用。"
Q&A
Q1:Firefox浏览器崩溃有多少是由硬件问题引起的?
A:根据Mozilla工程师Gabriele Svelto的研究,约10%的Firefox浏览器崩溃可归因于位翻转等硬件问题,而非软件错误。如果排除内存不足等资源耗尽导致的崩溃,这一比例会上升到约15%。在过去一周收到的47万份崩溃报告中,约2.5万份看起来可能是位翻转引起的。
Q2:Anthropic的AI如何帮助Firefox提升安全性?
A:Anthropic使用其Claude Opus 4.6模型为Firefox开发了一个基于AI的漏洞检测系统。通过这个系统,Mozilla在几小时内就开始修复问题,最终发现了14个高严重性漏洞,并发布了22个CVE。所有这些漏洞现在都已在最新版本的Firefox浏览器中修复。
Q3:Claude AI能否编写完整的浏览器漏洞利用程序?
A:目前Claude还不能编写"全链"漏洞利用程序,即结合多个漏洞以逃离浏览器沙箱的程序。它生成的漏洞利用程序仅在移除了部分安全功能的测试环境中有效。不过,Anthropic表示,从进展速度来看,前沿模型在漏洞发现和利用能力之间的差距不太可能持续很长时间。
热门跟贴