得益于Anthropic的AI及其漏洞检测能力,Firefox用户现在可以享受更强的安全性。不过,如果问题是浏览器崩溃而非安全漏洞,Claude可能帮不上忙。
Mozilla工程师Gabriele Svelto在最近的Mastodon帖子中表示,他认为约10%的Firefox浏览器崩溃可归因于位翻转——内存中的意外变化——而非软件错误。
位翻转可能由多种因素引起,例如宇宙射线和Rowhammer攻击。但通常原因更为平常——有缺陷的电子元件。
"今天我查看了这些测试产生的数据,现在我百分之百确信……我们看到的许多崩溃来自内存损坏或类似不稳定硬件的用户,"他说。
Svelto表示,在过去一周内,Mozilla收到了约47万份来自Firefox用户的崩溃报告,这仅涵盖了选择加入崩溃报告的用户。他说,其中约2.5万份看起来可能是位翻转。
"这意味着每二十次崩溃中就有一次可能由损坏/不稳定的内存引起,这个比例很大!"他说。"而且因为这是一个保守的启发式方法,我们低估了真实数字,实际可能至少是两倍。"
他还表示,如果减去资源耗尽(如内存不足)导致的崩溃,可归因于硬件的崩溃比例会上升到约15%。
Svelto说,虽然他的研究主要集中在计算机和手机上,但这些问题存在于每个设备中,例如路由器和打印机。
这不是人们第一次对硬件错误率感到震惊。谷歌研究人员在2009年研究其数据中心的DRAM错误时惊讶地发现,DRAM错误率"比之前报告的高出几个数量级,每十亿设备小时每兆位有25,000到70,000个错误,每年超过8%的DIMM受到错误影响。"
位翻转超出了Mozilla的控制范围,但该公司已经能够在Anthropic红队的帮助下加固其软件。
Mozilla工程师Brian Grinstead和Christian Holler在一篇博客文章中表示,几周前,Anthropic带着一个新的基于AI的漏洞检测系统接触了Firefox团队。
他们说,之前使用AI辅助漏洞检测系统的结果好坏参半,但这次不同。
"几小时内,我们的平台工程师就开始修复问题,我们与Anthropic展开了紧密合作,将同样的技术应用于浏览器代码库的其余部分,"他们说。"总共,我们发现了14个高严重性漏洞,并因此发布了22个CVE。所有这些漏洞现在都已在最新版本的浏览器中修复。"
Anthropic表示,它使用最近的Claude Opus 4.6模型完成了这一壮举,甚至让其AI模型为现已修补的漏洞之一(CVE-2026-2796)生成了一个可工作的漏洞利用程序。
"需要明确的是,Claude编写的漏洞利用程序仅在测试环境中有效,该环境故意移除了现代网络浏览器的一些安全功能,"安全研究人员Evyatar Ben Asher、Keane Lucas、Nicholas Carlini、Newton Cheng和Daniel Freeman在博客文章中解释道。"Claude还不能编写结合多个漏洞以逃离浏览器沙箱的'全链'漏洞利用程序,而这些才是真正会造成危害的。"
但那一刻可能不会太远。
"从进展速度来看,前沿模型在漏洞发现和利用能力之间的差距不太可能持续很长时间,"Anthropic说。"如果未来的语言模型突破这一利用障碍,我们将需要考虑额外的保障措施或其他行动,以防止我们的模型被恶意行为者滥用。"
Q&A
Q1:Firefox浏览器崩溃有多少是由硬件问题引起的?
A:根据Mozilla工程师Gabriele Svelto的研究,约10%的Firefox浏览器崩溃可归因于位翻转等硬件问题,而非软件错误。如果排除内存不足等资源耗尽导致的崩溃,这一比例会上升到约15%。在过去一周收到的47万份崩溃报告中,约2.5万份看起来可能是位翻转引起的。
Q2:Anthropic的AI如何帮助Firefox提升安全性?
A:Anthropic使用其Claude Opus 4.6模型为Firefox开发了一个基于AI的漏洞检测系统。通过这个系统,Mozilla在几小时内就开始修复问题,最终发现了14个高严重性漏洞,并发布了22个CVE。所有这些漏洞现在都已在最新版本的Firefox浏览器中修复。
Q3:Claude AI能否编写完整的浏览器漏洞利用程序?
A:目前Claude还不能编写"全链"漏洞利用程序,即结合多个漏洞以逃离浏览器沙箱的程序。它生成的漏洞利用程序仅在移除了部分安全功能的测试环境中有效。不过,Anthropic表示,从进展速度来看,前沿模型在漏洞发现和利用能力之间的差距不太可能持续很长时间。
好文章,需要你的鼓励
市场研究公司Klue本月初遭黑客入侵,大量客户数据被窃。Klue表示正与黑客组织Icarus沟通,并相信对方正在删除所盗数据。受影响客户包括Gong、LastPass、HackerOne等多家知名企业。然而事态趋于复杂——另一黑客团伙声称从Icarus处获取了Klue客户数据,并向客户发出勒索威胁。Klue提醒客户勿向第二方支付赎金,并建议索取数据样本以核实其真实性。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。
苹果公司对OpenAI提起诉讼,指控其窃取商业机密。据披露,前苹果系统电气工程师刘畅(Chang Liu)在离职加入OpenAI后,利用一个此前未知的身份验证零日漏洞,持续数周从苹果内部网络存储中下载大量机密文件,内容涵盖未发布产品信息、工程演示文稿及技术规格等。苹果已修复该漏洞并终止相关访问权限。此案已提交加州北区联邦法院,并要求陪审团审判。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。