AI抓漏洞比人快?Claude兩週內在Firefox挖出22個安全漏洞的技術內幕
上週 Anthropic 和 Mozilla 聯合發了一篇公告:Claude Opus 4.6 在兩週內掃描了 Firefox 將近 6,000 個 C++ 檔案,提交 112 份報告,其中 22 個被確認為真實漏洞,14 個是高嚴重性。 這個數字什麼概念?2025 一整年 Firefox 修補的高嚴重性漏洞,大約是這次兩週產出的五倍。換句話說,Claude 兩週的產量接近 2025 全年的兩成。 我花了一些時間讀完 Anthropic 的技術報告和 Mozilla 的回應,想整理出幾個工程師會在意的重點。 它是怎麼掃的?Anthropic 的團隊沒有直接丟整個 codebase 給 Claude 然後說「幫我找 bug」。他們分了兩個階段: 第一階段:驗證能力。 先拿 Firefox 舊版本中已知的 CVE,讓 Claude 看能不能重現。這步很關鍵——如果連已知漏洞都找不到,就沒必要往下走了。 第二階段:掃描未知漏洞。 從 JavaScript 引擎開始(這是瀏覽器最複雜、攻擊面最大的部分),逐步擴展到其他元件。兩週內掃了將近 6,000 個 C++...