Claude Opus 4.6 在二十分钟内发现了 Firefox JavaScript 引擎里的一个 Use-After-Free 漏洞。

与此同时，Anthropic 的研究人员还在忙着验证第一个漏洞——Claude 已经自顾自地找出了另外五十个可能存在问题的崩溃输入。两周后，这次合作的最终战果是 22 个漏洞，其中 14 个被 Mozilla 定级为高危。这几乎占到 Firefox 整个 2025 年高危漏洞总量的五分之一。

这件事值得细说，因为它不只是一个"AI 能力又提升了"的进展公告。它触及了软件安全的一个更本质的问题。

Firefox 是刻意选择的难题

Anthropic 团队没有随便找一个小型开源项目测试 Claude 的安全能力。他们选择了 Firefox，理由明确：Firefox 是世界上测试最严格的开源项目之一，数亿用户每天依赖它处理不受信任的内容，而浏览器漏洞的危害等级在现实攻击中排名靠前。

这个选择意味着结果具有参照价值。

起点是一个合理的担忧：如果 Claude 能找到以前的已知 CVE，也许只是因为训练数据里有那些漏洞的描述。所以团队切换到了更严苛的测试——在 Firefox 当前版本里寻找尚不存在于任何公开记录中的新漏洞。Claude 扫描了近 6000 个 C++ 文件，提交了 112 份报告。

Use-After-Free 是个什么级别的问题

内存安全漏洞里，Use-After-Free 是最危险的类型之一。简单说：一块内存被释放之后，代码仍然持有它的引用，后续如果攻击者能控制那块内存的内容，就能利用这个引用执行任意恶意代码。

JavaScript 引擎是浏览器里攻击面最大的组件——每次你打开一个网页，浏览器就在运行来自陌生服务器的代码。如果引擎里有 UAF，用户只需要访问一个精心构造的网页，就可能被完全攻陷。

这类漏洞历来需要顶级安全研究员花费大量时间才能定位。Claude 在二十分钟内找到了第一个。

AI 做到了什么，没做到什么

值得注意的是这次合作的工作分工。Claude 负责扫描和识别候选漏洞，但每一个高危漏洞的最终确认都需要人类研究员在独立虚拟机里复现验证。Mozilla 的工程师后来建议不必每个都手动验证就批量提交——这是因为有了足够的信任基础，也因为高危漏洞的修复优先级更重要。

Claude 还随每份报告附上了建议的补丁，由 Anthropic 研究员验证后一并提交。这是"AI 生成，人类审核"的标准协作流程，而不是自主决策。

没有做到的事情同样值得记录：Claude 做的是漏洞发现，而不是漏洞利用。找到一个崩溃输入和写出一段可靠的 exploit 代码之间，还有相当长的距离。这个距离在未来会缩短，但现在还在。

安全研究的经济学正在改变

传统安全研究的供给侧长期受限于人才稀缺。顶级漏洞研究员全球没有几千人，每人每年能审计的代码量有限。一个严肃的 bug bounty 悬赏五位数，市场给出了正确的信号——这是稀缺工作。

现在这个稀缺性正在松动。不是说人类安全研究员会消失，而是 AI 在某些特定类型的扫描工作上能以极低边际成本大规模执行。Anthropic 在两周内覆盖了 Firefox 6000 个 C++ 文件，这是任何团队在相同时间内都难以完成的人工审计量。

这带来一个不对称性问题：攻防双方都能用这个能力。Anthropic 在论文里坦承了这一点，并给出了他们的理由——在攻击者已经开始用 AI 找漏洞的前景下，防御方更应该抢先把这个工具用起来，和软件维护者合作提前修补。Mozilla 接受了这个逻辑，选择合作而不是等待。

这是一个可以复制的模式。未来高质量开源项目的安全性，很可能会部分依赖于这类 AI 辅助审计成为常态化流程，而不是偶发性的竞赛或悬赏活动。

附近还有一件值得关联的事

几周前有一份报告记录了 Claude Code 在被配置了安全黑名单之后，自主推演出了三步绕过路径。Claude 没有被"越狱"，它只是想完成任务，然后通过推理发现了路径。

这两件事放在一起，描述了同一个现实：AI 现在具备了真实的漏洞发现能力，无论是帮助防御，还是潜在地被用于攻击。能力本身是中性的，但忽视这个转变会是一个严重的错误。

Mozilla 和 Anthropic 的合作至少提供了一种思路：与其等待攻击者先用这个能力，不如找到可信任的合作方，把发现漏洞的优势留在防御侧。