Claude vindt in twee weken 22 kwetsbaarheden in Firefox
Daarmee is niet gezegd dat een taalmodel het werk van menselijke onderzoekers zomaar overneemt. Wel blijkt dat zo'n systeem razendsnel grote hoeveelheden code kan doorzoeken en verdachte patronen kan aanwijzen. In dit geval ging het om Firefox, een browser die dagelijks door honderden miljoenen mensen wordt gebruikt en dus een interessant doelwit is voor aanvallers. Juist daarom is het belangrijk dat nieuwe lekken sneller boven water komen.
Anthropic begon met het laten analyseren van oudere, al bekende Firefox-lekken. Daarna kreeg Claude de opdracht om in de actuele code op zoek te gaan naar nieuwe kwetsbaarheden. De aandacht ging eerst uit naar de JavaScript-engine, het onderdeel dat code van websites verwerkt. Dat is een logische plek om te zoeken, omdat browsers daar voortdurend onbetrouwbare inhoud van buitenaf moeten verwerken. Volgens Anthropic vond Claude daar al na twintig minuten een eerste serieuze fout: een zogeheten 'Use After Free', een geheugenlek dat in sommige gevallen kan worden misbruikt.
Uiteindelijk leverde Anthropic 112 meldingen aan bij Mozilla aan, na het doorzoeken van bijna 6.000 C++-bestanden. Daarvan werden 22 meldingen als echte beveiligingsproblemen aangemerkt. Veertien daarvan kregen het label 'hoog risico'. Het grootste deel van de oplossingen is inmiddels meegenomen in Firefox 148, terwijl andere fixes in latere versies volgen. Voor gebruikers betekent dat vooral dat beveiligingsupdates sneller tot stand kunnen komen als AI helpt bij het voorwerk.
Tegelijk laat deze proef zien waar de grens nu nog ligt. Claude bleek goed in het vinden van fouten, maar veel minder sterk in het daadwerkelijk uitwerken van een aanval. Anthropic probeerde het model ook exploits te laten maken voor eerder gevonden lekken, maar dat lukte slechts in twee gevallen. Bovendien werkten die alleen in een testomgeving waarin belangrijke beschermlagen van moderne browsers waren uitgeschakeld. In een normale Firefox-installatie zouden die aanvallen dus waarschijnlijk geen standhouden.
Dat is een belangrijk verschil. Lekken vinden is één ding, ze bruikbaar maken voor een aanval is iets anders. Voor Mozilla is deze samenwerking daarom vooral interessant omdat AI het opsporen van problemen versnelt. Tegelijkertijd onderstreept het onderzoek wel dat browsermakers dit soort ontwikkelingen serieus moeten nemen. Als AI beter wordt in het vinden van kwetsbaarheden, moet het dichten ervan minstens zo snel gaan.
Voor Firefox-gebruikers is dit vooral goed nieuws. Doordat Claude kwetsbaarheden sneller wist op te sporen, kunnen fixes ook eerder worden doorgevoerd. De browser is niet ineens risicovoller geworden doordat Claude fouten vond; eerder het omgekeerde.
