AI Claude Opus 4.6 phát hiện 22 lỗ hổng Firefox, mở ra kỷ nguyên mới cho bảo mật
Anthropic vừa công bố một phát hiện đáng chú ý trong lĩnh vực an ninh mạng: mô hình AI Claude Opus 4.6 đã tìm ra 22 lỗ hổng bảo mật mới trong trình duyệt Firefox thông qua dự án hợp tác nghiên cứu với Mozilla. Điều đáng kinh ngạc là toàn bộ các lỗ hổng này được phát hiện chỉ trong khoảng hai tuần thử nghiệm, chứng tỏ sức mạnh vượt trội của công nghệ trí tuệ nhân tạo trong việc phân tích mã nguồn.
Chi tiết các lỗ hổng và quy mô phát hiện
Theo thông tin từ Anthropic, trong tổng số 22 lỗ hổng được phát hiện, có tới 14 lỗi được đánh giá ở mức nghiêm trọng cao, 7 lỗi ở mức trung bình và 1 lỗi có mức độ thấp. Các vấn đề này đã được khắc phục kịp thời trong phiên bản Firefox 148, phát hành vào cuối tháng trước. Quá trình phát hiện lỗi được thực hiện trong tháng 1/2026, và số lượng lỗi nghiêm trọng mà Claude Opus 4.6 phát hiện chiếm gần một phần năm tổng số lỗ hổng nghiêm trọng được vá trong Firefox trong suốt năm 2025.
Một ví dụ điển hình là lỗi "use-after-free" trong thành phần JavaScript của trình duyệt. Theo Anthropic, mô hình AI chỉ mất khoảng 20 phút để phát hiện dấu hiệu của lỗi này trong quá trình phân tích mã nguồn. Sau đó, các nhà nghiên cứu bảo mật của hãng đã xác nhận lỗi trong môi trường ảo nhằm loại bỏ khả năng cảnh báo sai, đảm bảo tính chính xác cao.
Quy trình phân tích và thử nghiệm của AI
Trong suốt quá trình nghiên cứu, hệ thống AI đã quét gần 6.000 file C++ trong mã nguồn Firefox và gửi tổng cộng 112 báo cáo lỗi khác nhau tới Mozilla. Trong số đó có những lỗ hổng nghiêm trọng và trung bình đã được công bố. Phần lớn các lỗi đã được vá trong Firefox 148, trong khi số còn lại dự kiến sẽ được sửa trong các bản cập nhật tiếp theo.
Anthropic cũng tiến hành một thử nghiệm thách thức hơn khi cung cấp cho Claude toàn bộ danh sách các lỗ hổng đã được báo cáo cho Mozilla, đồng thời yêu cầu AI thử phát triển mã khai thác thực tế cho các lỗi này. Kết quả cho thấy quá trình này khó khăn hơn đáng kể so với việc tìm ra lỗ hổng. Sau hàng trăm lần thử nghiệm và tiêu tốn khoảng 4.000 USD tiền credit API, Claude Opus 4.6 chỉ có thể biến lỗi bảo mật thành mã khai thác trong hai trường hợp.
Ý nghĩa và tác động của phát hiện
Theo Anthropic, kết quả này phản ánh hai yếu tố quan trọng. Thứ nhất, việc tìm kiếm lỗ hổng có chi phí thấp hơn đáng kể so với việc phát triển mã khai thác. Thứ hai, mô hình AI hiện tại có khả năng phát hiện vấn đề tốt hơn nhiều so với khả năng khai thác chúng. Tuy vậy, công ty cũng cho rằng việc AI có thể tự động tạo ra một số mã khai thác, dù còn ở mức đơn giản, vẫn là một tín hiệu đáng chú ý đối với cộng đồng bảo mật.
Một thành phần quan trọng trong quá trình thử nghiệm là hệ thống "task verifier". Công cụ này có nhiệm vụ xác nhận xem mã khai thác có thực sự hoạt động hay không, từ đó cung cấp phản hồi theo thời gian thực để AI tiếp tục điều chỉnh và cải thiện kết quả. Trong số các lỗi được AI khai thác thành công có CVE-2026-2796 với điểm CVSS lên tới 9.8, một lỗ hổng nghiêm trọng trong cơ chế just-in-time của thành phần JavaScript WebAssembly.
Phản hồi từ Mozilla và tương lai của AI trong bảo mật
Trong thông báo phối hợp với Anthropic, Mozilla cho biết phương pháp phân tích có sự hỗ trợ của AI cũng đã phát hiện thêm 90 lỗi khác trong mã nguồn Firefox, phần lớn trong số đó đã được sửa. Các lỗi này bao gồm những lỗi kiểm tra assertion tương tự các vấn đề thường được phát hiện bằng kỹ thuật fuzzing, cùng một số loại lỗi logic mà các công cụ fuzzing truyền thống không thể phát hiện.
Theo Mozilla, quy mô của các phát hiện này cho thấy sức mạnh của việc kết hợp giữa kỹ thuật phần mềm nghiêm ngặt và các công cụ phân tích mới. Hãng đánh giá việc phân tích mã nguồn quy mô lớn với sự hỗ trợ của AI sẽ trở thành một công cụ quan trọng trong bộ công cụ của các kỹ sư bảo mật, mở ra kỷ nguyên mới cho ngành an ninh mạng.
