Mô hình Claude Opus 4.6 của Anthropic đã phát hiện 22 lỗ hổng mới trong trình duyệt Firefox chỉ trong hai tuần vào tháng 2/2026. Con số này tương đương gần 20% tổng số lỗ hổng nghiêm trọng mà Mozilla đã khắc phục trong năm ngoái. Phần lớn các lỗi đã được vá và triển khai tới người dùng trong bản phát hành Firefox 148.0.
Anthropic đã báo cáo toàn bộ các phát hiện, trong đó 14 lỗ hổng được phân loại ở mức nghiêm trọng cao. Ban đầu, mô hình được kiểm thử trên các lỗ hổng đã biết để đánh giá khả năng tái tạo lỗi. Sau đó, Claude Opus 4.6 được chuyển sang phân tích trực tiếp mã nguồn hiện tại của Firefox, đặc biệt tập trung vào engine JavaScript và các thành phần viết bằng C++ – những khu vực có mức độ rủi ro cao vì thường xử lý dữ liệu không đáng tin cậy từ bên ngoài.
Chỉ sau khoảng 20 phút, hệ thống đã phát hiện một lỗ hổng Use-After-Free, dạng lỗi bộ nhớ nghiêm trọng có thể dẫn tới thực thi mã độc.
Trong các thử nghiệm tiếp theo, AI còn tạo được một số mã khai thác thử nghiệm, tuy nhiên chúng chỉ hoạt động trong môi trường kiểm thử khi các cơ chế bảo mật như sandbox bị vô hiệu hóa. Điều này cho thấy các lớp phòng vệ của Firefox vẫn đủ khả năng ngăn chặn khai thác trong điều kiện thực tế.
Tuy vậy, thí nghiệm cũng cho thấy AI đang tiến gần hơn tới khả năng tự động hóa toàn bộ quy trình từ phát hiện lỗ hổng đến tạo mã khai thác. Số lượng lỗ hổng do AI phát hiện ngày càng nhiều cũng tạo áp lực lớn cho các nhóm bảo mật phần mềm. Theo Mozilla, các báo cáo do AI tạo ra chỉ được xem xét khi đi kèm đầy đủ tài liệu kỹ thuật, bao gồm kịch bản kiểm thử tối thiểu, bằng chứng khai thác (PoC) và đề xuất bản vá khả thi.
Song song đó, Anthropic cũng đang phát triển các công cụ như Claude Code Security nhằm đưa khả năng phát hiện và khắc phục lỗ hổng nhanh chóng đến với các đội ngũ phòng thủ, với mục tiêu giúp tổ chức vá lỗi trước khi các tác nhân tấn công có thể tận dụng AI cho mục đích khai thác.
