Mit CVEs: KI findet 100 Firefox-Lücken in zwei Wochen
Innerhalb von zwei Wochen hat die Anthropic-KI Claude insgesamt mehr als 100 Schwachstellen(öffnet im neuen Fenster) identifiziert. Vierzehn davon wurden als hochkritisch eingestuft: theoretisch angreifbar unter den richtigen Bedingungen.
Mozilla vergab 22 CVEs und lieferte die Fixes mit Firefox 148 aus. Besonders bemerkenswert: Das Modell fand auch Logikfehler, die klassische Fuzzing-Methoden bislang übersehen hatten.
Den Angaben zufolge dauerte es keine zwanzig Minuten bis zum ersten Fund, nachdem Anthropics Sicherheitsteam den KI-Assistenten Claude Opus 4.6 auf Firefox ansetzte. Als Anthropic den Bug bei Mozilla einreichte, war die Reaktion eindeutig: "Was habt ihr noch? Schickt uns mehr" , soll Mozilla-Ingenieur Brian Grinstead gefordert haben.
Mehr als 100 Bugs, 22 CVEs, zwei funktionierende Exploits
Das Anthropic-Team filterte die Ergebnisse vor der Einreichung. Nur reproduzierbare Bugs mit minimalen Testfällen kamen weiter. Das beschleunigte die Verarbeitung auf Mozillas Seite erheblich: Erste Fixes wurden innerhalb von Stunden nach dem ersten Kontakt eingespielt.
Auf Anfrage des Teams schrieb Claude auch Exploit-Code für die gefundenen Schwachstellen. Zwei davon funktionierten tatsächlich, wären in einer echten Umgebung jedoch durch bestehende Schutzmechanismen von Firefox blockiert worden. Logan Graham, der Leiter von Anthropics Frontier Red Team, zog das Fazit: Claude sei beim Finden von Bugs deutlich stärker als beim Ausnutzen.
Wachsende Lücke zwischen Entdeckung und Gegenwehr
Diese Asymmetrie bereitet Sicherheitsexperten Sorgen. Je besser KI-Modelle werden, desto schneller schließt sich der Abstand zwischen Entdeckung und Ausnutzung: "Die aktuellen Methoden der Cyberabwehr können mit der Geschwindigkeit und Häufigkeit der Angriffe nicht Schritt halten" , sagte Gadi Evron, Chef der KI-Sicherheitsfirma Knostic(öffnet im neuen Fenster) .
Nicht alle Erfahrungen mit KI-gestützten Bug Reports sind positiv. Das Team hinter der Curl-Software stellte im Januar 2026 sein Bug-Bounty-Programm ein , nachdem weniger als jede zwanzigste Einsendung in 2025 als echt eingestuft wurde.
"KI-Chatbots halluzinieren nach wie vor leicht Sicherheitsprobleme" , erklärte Curl-Entwickler Daniel Stenberg, auch wenn er einräumte, dass leistungsfähige KI-Analysewerkzeuge durchaus echte Lücken fänden.
Mozilla integriert KI-Analyse in interne Workflows
Mozilla hat nach der Zusammenarbeit mit Anthropic bereits begonnen, KI-gestützte Analysen in seine internen Sicherheitsprozesse zu integrieren. Dass die Organisation ausgerechnet Firefox als Testfall wählte – einen Browser, der seit Jahrzehnten intensiv geprüft wird – macht es schwer, die Ergebnisse einfach zu ignorieren. Ob solche Kooperationen zum Standard werden, ist offen.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.