Anthropic Mythos помогла Mozilla найти 271 уязвимость в Firefox 150
Mozilla заявила, что ранний Mythos Preview привёл к исправлениям для 271 уязвимости в Firefox 150. Разбираем, что это меняет для AppSec.
Anthropic Mythos и Firefox 150 стали для Mozilla не просто красивой демонстрацией новой модели. 21 апреля 2026 года команда Firefox написала, что релиз Firefox 150 включает исправления для 271 уязвимости, которые нашли во время первой оценки Claude Mythos Preview. Это уже другой масштаб, чем мартовский кейс с Claude Opus 4.6, когда Mozilla говорила о 22 багах, влияющих на безопасность, в Firefox 148.
Из этого сюжета легко сделать заголовок в духе «ИИ взломал Firefox». Он будет неверным. Реальный вывод приземлённее и важнее: цена поиска давно живущих скрытых багов в зрелом браузере резко падает. Узкое место смещается с самого поиска на первичный разбор, валидацию и скорость, с которой команда успевает довести находки до патча.
У Toolarium уже есть общий разбор того, где Mythos меняет кибербезопасность. Здесь фокус уже: что именно Mozilla подтвердила по Firefox 150, почему цифру 271 нельзя читать как 271 отдельных CVE и что этот кейс говорит о будущей работе AppSec-команд.
Что Mozilla подтвердила официально
Mozilla написала 21 апреля 2026 года, что ранний доступ к Claude Mythos Preview помог выявить уязвимости, исправления для которых вошли в Firefox 150. Официальные заметки к релизу Firefox 150.0 датированы тем же днём: 21 апреля 2026 года. Формулировка Mozilla аккуратная: речь идёт об исправлениях для 271 уязвимостей, выявленных во время первой оценки. Компания не пишет, что все 271 находки были уязвимостями высокой опасности, zero-day или готовыми к эксплуатации.
Это важное различие, потому что публичный advisory MFSA 2026-30 выглядит заметно уже, чем громкая цифра из блога. По подсчёту Toolarium на странице advisory перечислены 43 идентификатора CVE. В нескольких строках Mozilla прямо указывает, что отчёт пришёл с помощью Claude from Anthropic, а часть исправлений собрана в сводные пункты вроде memory safety bugs fixed in Firefox 150. Иными словами, 271 в этой истории — это не 271 отдельный публичный CVE. Это общий объём уязвимостей, которые Mozilla успела закрыть в релизе после первичной оценки Mythos.
| Этап | Что Mozilla подтвердила | Источник |
|---|---|---|
| 6 марта 2026 года, Firefox 148 | Claude Opus 4.6 помогла найти 14 уязвимостей высокой опасности, 22 CVE и ещё 90 других дефектов. | Mozilla |
| 21 апреля 2026 года, Firefox 150 | Claude Mythos Preview привела к исправлениям для 271 уязвимостей, выявленных во время первой оценки. | Mozilla |
Почему это другой масштаб, чем в марте
В первом кейсе Mozilla и Anthropic, описанном 6 марта 2026 года, Opus 4.6 за пару недель помогла найти 14 уязвимостей высокой опасности и 22 CVE, а также ещё 90 других багов. Mozilla отдельно подчёркивала, что ценность работы была не в красивом числе, а в воспроизводимости: баг-репорты приходили с минимальными тест-кейсами, которые инженеры могли быстро проверить и чинить.
Апрельский Mythos-кейс поднимает планку. Теперь вопрос уже не в том, может ли передовая модель прислать правдоподобный отчёт об уязвимости. Вопрос в другом: выдерживает ли команда зрелого проекта поток находок, который раньше потребовал бы месяцев работы сильных исследователей. Для Firefox это означает пересборку приоритетов внутри процесса безопасности. Для остального рынка — сигнал, что массовая валидация ИИ-находок становится отдельной инженерной дисциплиной.
Почему Mozilla заговорила так жёстко
В апрельском посте Firefox CTO Bobby Holley описывает ситуацию без привычной осторожной бюрократии. Mozilla пишет, что раньше компьютеры не умели искать такие баги через анализ логики кода по исходникам, а теперь умеют. Дальше формулировка ещё сильнее: Mythos, по опыту команды, «every bit as capable» as the world's best security researchers, и Mozilla пока не увидела класса уязвимостей, который элитный исследователь нашёл бы, а модель — нет.
Это не означает, что люди больше не нужны. Напротив, в том же тексте Mozilla много говорит о многоуровневой защите, старом C++-долге, фаззинге и том, что находки пришлось быстро переводить в реальные исправления. Но тон меняется. Если раньше защитники жили с мыслью, что сложные баги хотя бы дороги в поиске, то теперь эта страховка слабеет. Mozilla прямо пишет, что набор таких дефектов конечен. Значит, выигрывать будет не тот, кто громче говорит про ИИ, а тот, кто быстрее превращает результаты в нормальный процесс исправлений.
Почему это не значит, что Mythos «взломала Firefox»
Здесь важно не смешивать два разных слоя фактов. История с 271 уязвимостью относится к Firefox 150 и к защитной оценке внутри Mozilla. А громкие цифры Anthropic про эксплуатацию идут из отдельного технического поста о Mythos Preview. Там компания сравнивает модели на бенчмарке по Firefox 147 JavaScript shell: Opus 4.6 сумела собрать рабочий эксплойт лишь в двух попытках из нескольких сотен, а Mythos Preview — 181 раз, плюс ещё 29 раз получила контроль над регистрами без полноценной цепочки эксплуатации.
Это впечатляющий скачок, но это не то же самое, что «модель автоматически взломала Firefox 150 целиком». Mozilla в публичном кейсе говорит об ускорении защитного поиска багов, а Anthropic показывает отдельный бенчмарк по уже известным и позже исправленным дефектам. Разница критична и для заголовка, и для вывода. Именно поэтому Mythos по состоянию на 7 мая 2026 года всё ещё не получила общий публичный релиз, а распространяется через Project Glasswing и ограниченный доступ для защитных команд.
Что это меняет для AppSec-команд
Первое изменение простое: баг-хантинг перестаёт быть редким ремеслом. Если передовая модель может массово находить скрытые уязвимости в одном из самых изученных браузеров на рынке, дальше узкое место будет смещаться в сторону первичного разбора. Нужны процессы, которые быстро отделяют действительно опасные находки от шума, собирают воспроизводимые тест-кейсы, связывают баг с компонентом и назначают ответственного за исправление.
Второе изменение связано с ритмом релизов. Mozilla смогла встроить этот объём работы в Firefox 150, потому что у неё есть зрелая команда безопасности, внутренний red team и привычка жить в режиме обороны в глубину. У многих open-source проектов такой подушки нет. Поэтому ближайший практический вопрос для индустрии — не какая модель сильнее, а у кого хватит ресурса переваривать резко подешевевший поток уязвимостей. Этот сдвиг мы отдельно разбирали в материале про N-Day-Bench и поиск реальных уязвимостей LLM-моделями.
Третье изменение касается доступа. Чем лучше модель ищет баги и строит гипотезы об эксплуатации, тем меньше рынок готов принимать её как обычный API для всех желающих. История Mozilla как раз подталкивает рынок к модели доверенного доступа: сильные инструменты сначала дают тем, кто отвечает за защитный контур и может быстро закрывать находки.
Итог
Кейс Firefox 150 важен не тем, что у Anthropic появился ещё один красивый бенчмарк. Важнее другое: Mozilla показала, как выглядит реальный переход от разговоров про ИИ в безопасности к операционной рутине. В марте модель помогала доказать, что отчёт можно быстро проверить. В апреле та же линия работы превратилась в 271 исправленную уязвимость в одном релизе.
Для разработчиков, руководителей безопасности и руководителей продукта вывод прямой. В ближайшие кварталы выигрывать будут не те, кто первым подключил ИИ для безопасности в презентации, а те, кто успел перестроить первичный разбор, верификацию и процесс исправлений под новый темп поиска багов. Firefox 150 — пока самый наглядный публичный пример того, что этот темп уже пришёл.
