AI Claude của Anthropic chỉ mất 2 tuần để tìm ra 22 lỗ hổng nguy hiểm trong trình duyệt Firefox

Anthropic vừa công bố một nghiên cứu cho thấy trí tuệ nhân tạo có thể trở thành công cụ mạnh mẽ trong lĩnh vực an ninh phần mềm. Trong dự án hợp tác với Mozilla, mô hình Claude Opus 4.6 đã phát hiện 22 lỗ hổng bảo mật mới trong mã nguồn của Mozilla Firefox chỉ trong khoảng hai tuần thử nghiệm.

Theo Anthropic, trong số các lỗ hổng này có 14 lỗi mức nghiêm trọng cao, 7 lỗi trung bình và 1 lỗi thấp. Các vấn đề đã được Mozilla khắc phục trong phiên bản Firefox 148 phát hành gần đây. Đáng chú ý, số lỗi nghiêm trọng do Claude phát hiện chiếm gần 1/5 tổng số lỗ hổng nghiêm trọng được vá trong Firefox trong suốt năm 2025.

Trong quá trình phân tích, hệ thống AI đã quét gần 6.000 tệp C++ trong mã nguồn Firefox và gửi 112 báo cáo lỗi cho Mozilla. Một ví dụ tiêu biểu là lỗi “use-after-free” trong thành phần JavaScript của trình duyệt. Claude chỉ mất khoảng 20 phút để phát hiện dấu hiệu của lỗi này trước khi các chuyên gia bảo mật xác nhận lại trong môi trường thử nghiệm.

Anthropic cũng thử nghiệm khả năng của AI trong việc biến các lỗ hổng thành mã khai thác thực tế. Kết quả cho thấy nhiệm vụ này khó hơn nhiều so với việc phát hiện lỗi. Sau hàng trăm lần thử nghiệm và tiêu tốn khoảng 4.000 USD chi phí API, Claude chỉ tạo được mã khai thác hoạt động trong 2 trường hợp.

Theo công ty, điều này cho thấy AI hiện giỏi phát hiện lỗ hổng hơn là khai thác chúng. Tuy vậy, việc AI có thể tự động tạo ra mã khai thác, dù ở mức đơn giản, vẫn là tín hiệu đáng chú ý đối với cộng đồng bảo mật.

Ngoài ra, Mozilla cho biết phương pháp phân tích có hỗ trợ AI còn phát hiện thêm 90 lỗi khác trong mã nguồn Firefox. Những kết quả này cho thấy việc kết hợp giữa kỹ thuật bảo mật truyền thống và AI có thể trở thành công cụ quan trọng trong nghiên cứu an ninh phần mềm trong tương lai.