AI Claude của Anthropic phát hiện 22 lỗ hổng Firefox chỉ trong 2 tuần
Trong một bước tiến đáng chú ý của công nghệ an ninh mạng, mô hình trí tuệ nhân tạo Claude Opus 4.6 của Anthropic đã chứng minh khả năng vượt trội khi chỉ mất khoảng hai tuần để phát hiện 22 lỗ hổng bảo mật trong trình duyệt Firefox. Thông tin này được công bố thông qua dự án hợp tác nghiên cứu giữa Anthropic và Mozilla, cho thấy AI đang trở thành công cụ không thể thiếu trong lĩnh vực nghiên cứu an ninh phần mềm.
Chi tiết về các lỗ hổng được phát hiện
Theo báo cáo từ Anthropic, trong tổng số 22 lỗ hổng được AI phát hiện, có đến 14 lỗi được đánh giá ở mức nghiêm trọng cao, 7 lỗi ở mức trung bình và chỉ 1 lỗi có mức độ thấp. Đáng chú ý, số lượng lỗi nghiêm trọng mà Claude Opus 4.6 tìm thấy chiếm gần một phần năm tổng số lỗ hổng nghiêm trọng được vá trong Firefox suốt năm 2025.
Quá trình phát hiện lỗi diễn ra vào tháng 1/2026, và tất cả các vấn đề này đã được khắc phục trong phiên bản Firefox 148 phát hành vào cuối tháng trước. Hệ thống AI đã quét gần 6.000 file C++ trong mã nguồn Firefox và gửi tổng cộng 112 báo cáo lỗi khác nhau tới Mozilla.
Khả năng đáng kinh ngạc của AI trong phát hiện lỗi
Một ví dụ điển hình cho thấy sức mạnh của Claude Opus 4.6 là việc phát hiện lỗi "use-after-free" trong thành phần JavaScript của trình duyệt. Mô hình AI chỉ mất khoảng 20 phút để tìm ra dấu hiệu của lỗi này trong quá trình phân tích mã nguồn. Sau đó, các nhà nghiên cứu bảo mật của Anthropic đã xác nhận lỗi trong môi trường ảo để loại bỏ khả năng cảnh báo sai.
Trong số các lỗi được AI khai thác thành công có CVE-2026-2796 với điểm CVSS lên tới 9.8. Lỗ hổng này được mô tả là lỗi biên dịch sai trong cơ chế just-in-time của thành phần JavaScript WebAssembly.
Thử nghiệm phát triển mã khai thác và những hạn chế
Anthropic cũng tiến hành một thử nghiệm thú vị khi cung cấp cho Claude toàn bộ danh sách các lỗ hổng đã được báo cáo cho Mozilla, đồng thời yêu cầu AI thử phát triển mã khai thác thực tế cho các lỗi này. Kết quả cho thấy quá trình này khó khăn hơn đáng kể so với việc tìm ra lỗ hổng.
Sau hàng trăm lần thử nghiệm và tiêu tốn khoảng 4.000 USD tiền credit API, Claude Opus 4.6 chỉ có thể biến lỗi bảo mật thành mã khai thác trong hai trường hợp. Theo Anthropic, kết quả này phản ánh hai yếu tố quan trọng:
- Việc tìm kiếm lỗ hổng có chi phí thấp hơn đáng kể so với việc phát triển mã khai thác
- Mô hình AI hiện tại có khả năng phát hiện vấn đề tốt hơn nhiều so với khả năng khai thác chúng
Tuy nhiên, công ty cũng nhấn mạnh rằng việc AI có thể tự động tạo ra một số mã khai thác, dù còn ở mức đơn giản, vẫn là một tín hiệu đáng chú ý đối với cộng đồng bảo mật. Các mã khai thác này chỉ hoạt động trong môi trường thử nghiệm nội bộ, nơi một số cơ chế bảo vệ như sandbox đã được loại bỏ để phục vụ nghiên cứu.
Hệ thống "task verifier" và công cụ Claude Code Security
Một thành phần quan trọng trong quá trình thử nghiệm là hệ thống "task verifier". Công cụ này có nhiệm vụ xác nhận xem mã khai thác có thực sự hoạt động hay không, từ đó cung cấp phản hồi theo thời gian thực để AI tiếp tục điều chỉnh và cải thiện kết quả.
Thông tin trên được công bố chỉ vài tuần sau khi Anthropic giới thiệu Claude Code Security trong bản thử nghiệm nghiên cứu giới hạn. Công cụ này được thiết kế như một tác nhân AI có khả năng hỗ trợ sửa lỗi bảo mật trong mã nguồn.
Anthropic cho biết các bản vá do AI tạo ra vẫn cần được kiểm tra cẩn thận trước khi hợp nhất vào mã nguồn chính. Tuy nhiên, hệ thống kiểm chứng nhiệm vụ giúp tăng mức độ tin cậy rằng bản vá có thể khắc phục lỗ hổng mà vẫn duy trì hoạt động bình thường của chương trình.
Phản hồi từ Mozilla và tầm nhìn tương lai
Trong thông báo phối hợp với Anthropic, Mozilla cho biết phương pháp phân tích có sự hỗ trợ của AI cũng đã phát hiện thêm 90 lỗi khác trong mã nguồn Firefox, phần lớn trong số đó đã được sửa. Các lỗi này bao gồm những lỗi kiểm tra assertion tương tự các vấn đề thường được phát hiện bằng kỹ thuật fuzzing, cùng một số loại lỗi logic mà các công cụ fuzzing truyền thống không thể phát hiện.
Theo Mozilla, quy mô của các phát hiện này cho thấy sức mạnh của việc kết hợp giữa kỹ thuật phần mềm nghiêm ngặt và các công cụ phân tích mới. Hãng đánh giá việc phân tích mã nguồn quy mô lớn với sự hỗ trợ của AI sẽ trở thành một công cụ quan trọng trong bộ công cụ của các kỹ sư bảo mật.
Thành công của dự án hợp tác này không chỉ khẳng định vai trò ngày càng quan trọng của trí tuệ nhân tạo trong lĩnh vực an ninh mạng, mà còn mở ra những hướng phát triển mới cho việc bảo vệ phần mềm trước các mối đe dọa ngày càng tinh vi. Với khả năng xử lý khối lượng mã nguồn khổng lồ trong thời gian ngắn, AI đang chứng minh là giải pháp hiệu quả để nâng cao chất lượng và độ an toàn của các sản phẩm công nghệ.
