Firefox закрыл 271 уязвимость за один релиз: Mozilla прогнала браузер через Claude Mythos

Mozilla выпустила Firefox 150 и вместе с обновлением закрыла 271 уязвимость, которые нашла ранняя версия модели Claude Mythos Preview от Anthropic. Это один из заметных кейсов, когда генеративную модель применили не для помощи с кодом, а для массового поиска дефектов в зрелом браузере с огромной кодовой базой.

В официальном advisory для Firefox 150 Mozilla перечислила больше 40 CVE. Из них только три карточки прямо отмечены как находки команды, работавшей с Claude from Anthropic: это CVE-2026-6746, CVE-2026-6757 и CVE-2026-6758. Первый дефект получил высокий уровень опасности и описан как use-after-free в компоненте DOM/Core & HTML. Два других связаны с WebAssembly и отмечены как moderate. То есть 271 относится к общему объёму найденных и исправленных проблем, а не к числу опубликованных CVE.

Mozilla уточнила и ещё один момент, который важен для трезвой оценки истории. Технический директор Firefox Бобби Холли написал, что команда пока не увидела уязвимостей такого класса, которые были бы недоступны сильному исследователю-человеку. Иными словами, модель резко ускорила поиск уже существующих багов.

Это уже не первый эпизод сотрудничества Mozilla и Anthropic. Месяцем раньше Mozilla рассказывала, что в ходе работы с Opus 4.6 получила 14 багов высокой опасности и в сумме 22 CVE, исправленных в Firefox 148. Тогда же компания сообщила ещё о 90 дополнительных дефектах, большинство из которых тоже уже устранили. Отдельно Mozilla отмечала, что модель смогла находить логические ошибки, которые раньше не ловили классические фаззеры — инструменты, автоматически закидывающие программу большим числом неожиданных входных данных, чтобы вызвать сбой.

Anthropic описывает Mythos Preview как модель с очень сильными возможностями в задачах компьютерной безопасности и не открывает её для свободного доступа. Компания запустила Project Glasswing — программу для ограниченного круга партнёров. В неё входят AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks. На отдельной странице проекта Anthropic пишет, что за последние недели модель помогла найти тысячи zero-day-уязвимостей в крупных ОС, браузерах и другом важном ПО, а часть из этих проблем прожила в коде много лет и пережила миллионы прогонов автоматических тестов.

В техническом блоге Anthropic сказано, что Mythos Preview умеет находить и эксплуатировать zero-day-уязвимости в основных ОС и браузерах, а более 99% найденных проблем пока не раскрывают публично, пока разработчики не выпустят патчи. В том же материале приводится бенчмарк на старых багфиксах Firefox: если Opus 4.6 смог превратить найденные уязвимости в рабочие эксплойты лишь в единичных случаях, то Mythos Preview сделал это 181 раз и ещё 29 раз добился контроля над регистрами.

Похожую оценку даёт Palo Alto Networks, которая тестировала frontier-модели с ранним доступом. Компания пишет, что менее чем за три недели получила эффект, сопоставимый с годом пентестов, а ещё отметила сильные способности таких моделей к «сцепке» багов: система умеет собирать несколько средних и низкоприоритетных дефектов в один критический сценарий атаки. Ещё одна практическая деталь — модели стали лучше искать логические уязвимости в прикладных сценариях, которые обычные сканеры часто пропускают.

Пользователям стоит обновить Firefox как можно быстрее. Firefox 150 вышел 21 апреля 2026 года, и именно в этой версии Mozilla закрыла обнаруженные проблемы. Чем дольше система остаётся на старой сборке, тем выше шанс, что разница между патчем и уязвимым кодом станет удобной подсказкой для злоумышленников.