Firefox 150 закрыл 41 уязвимость, часть вскрыл ИИ от Anthropic

Mozilla закрыла 41 CVE в Firefox 150, значительная часть найдена AI-моделью Claude Mythos от Anthropic. Разбираем, что реально за цифрой «271 уязвимость» и почему The Register её критикует.

Новости Tproger
Обложка: Firefox 150 закрыл 41 уязвимость, часть вскрыл ИИ от Anthropic

Если у вас Firefox — обновитесь до 150-й версии. Mozilla выпустила её 21 апреля 2026 года и закрыла 41 уязвимость, часть из которых обнаружил не фаззер и не человеческий аудитор, а Claude Mythos Preview — модель Anthropic, работающая в связке с Mozilla по программе security audit.

Партнёрство началось в феврале 2026-го: первая волна Anthropic Red Team нашла 14 high-severity багов и 22 CVE в Firefox 148. Для Firefox 150 Mozilla отчиталась о 271 уязвимости, найденной Anthropic в ходе масштабного сканирования кодовой базы. Параллельно релиз закрывает 41 CVE в стандартном security-бюллетене MFSA 2026-30 — насколько эти две группы пересекаются, Mozilla не детализирует.

Коротко

Что обновить. Firefox 150, ESR 115.35 (legacy), ESR 140.10 (enterprise). Вышли одновременно 21 апреля 2026.

Сколько закрыли. 41 CVE (MFSA 2026-30). Среди критичных — use-after-free в DOM, WebRTC, JavaScript Engine, WebAssembly.

Кто нашёл. Значительная часть уязвимостей — от Anthropic Frontier Red Team с помощью модели Claude Mythos Preview. Всего за партнёрство ИИ нашёл 271 уязвимость, из которых Mozilla выпустила патчи в Firefox 150.

Что это не. Не интеграция Claude в Firefox, не ИИ-помощник в браузере. Это внешний security-аудит — Anthropic получила исходники и прогнала их через модель.

Контр-нарратив. The Register критикует «271» как маркетинговую цифру — реальных уникальных проблем меньше. Принимайте число с оговоркой.

Что за уязвимости

MFSA 2026-30 — 41 CVE (CVE-2026-6746 … CVE-2026-6786, возможны разрывы в нумерации). Критичные — преимущественно use-after-free (обращение к освобождённой памяти, путь к произвольному выполнению кода) в ключевых подсистемах:

  • CVE-2026-6746 — UAF в DOM/HTML
  • CVE-2026-6747 — UAF в WebRTC
  • CVE-2026-6754 — UAF в JavaScript Engine
  • CVE-2026-6758 — UAF в WebAssembly
  • CVE-2026-6759 — UAF в macOS-виджетах (Cocoa)

Плюс повышение привилегий через WebRender (CVE-2026-6750), Networking (CVE-2026-6761), Debugger (CVE-2026-6769) и memory-safety bundles (CVE-2026-6784/6785/6786), про которые Mozilla пишет «могли быть эксплуатированы для выполнения произвольного кода».

Что сделал Claude

Claude Mythos Preview — AI-метод для поиска уязвимостей в коде, который Anthropic использует во Frontier Red Team. Технические детали модели Anthropic публично не раскрывает: неизвестно, это fine-tune Claude, агентная обвязка или отдельная архитектура. Известно, как это работало на Firefox: Mozilla передала Anthropic открытые исходники браузера, модель сгенерировала минимальные reproducible test cases для каждого найденного бага, инженеры Mozilla валидировали репорты по мере поступления — «в течение часов» после первого контакта.

По первой волне (Firefox 148, февраль 2026) Anthropic нашёл 14 high-severity багов и 22 CVE, плюс 90 менее критичных. К релизу 150-й версии Mozilla подняла счётчик до 271 уязвимости — часть из них пересекается с фаззингом и assertion failures, часть — уникальные logic-ошибки. Сколько из 41 CVE в MFSA 2026-30 приписано именно Anthropic, а сколько найдено OSS-Fuzz, внутренним аудитом и bug bounty — в бюллетене не разведено.

AI-отчёты об уязвимостях имеют неоднозначную репутацию, и скепсис здесь оправдан. Слишком много таких отчётов оборачивались false positives и дополнительной нагрузкой на open-source-проекты. То, что мы получили от Frontier Red Team в Anthropic, было другим. Репорты включали минимальные тест-кейсы, которые позволили команде безопасности быстро верифицировать и воспроизвести каждую проблему.
Mozillaблог Mozilla, первый отчёт о партнёрстве

Mozilla сравнивает этот этап с эпохой ранних фаззеров:

Firefox прошёл через одни из самых масштабных fuzzing, static analysis и регулярных security-ревью за десятилетия. Несмотря на это, модель вскрыла множество ранее неизвестных багов. По аналогии с первыми годами фаззинга: во многих широко развёрнутых проектах, видимо, скопился массивный backlog проблем, которые теперь становятся обнаружимыми.
Mozillaблог Mozilla, первый отчёт о партнёрстве

Чего в Firefox 150 не появилось

Важное уточнение — это не интеграция Claude в Firefox. Нет ИИ-помощника в сайдбаре, нет ИИ-поиска, нет opt-in инференса через Anthropic API. Наоборот — в апреле 2026 Mozilla отдельно опубликовала гайд «Как отключить ИИ-функции в Firefox». Партнёрство с Anthropic — это внешний аудит, который происходит офлайн. Пользователь получает просто патчи.

Что вызывает вопросы

Вокруг цифры «271 уязвимость» сформировался контр-нарратив в security-прессе. The Register озаглавила обзор «Anthropic Mythos пока смотрится как nothingburger» — и сомневается в маркетинге метрики. Автор блога flyingpenguin в заголовке указывает «maybe 3» реальных уникальных критичных CVE из массива.

Проблема в том, что 271 — это агрегат bug reports, а не верифицированных high-severity уязвимостей. Часть — дубликаты с существующими fuzzing-стендами (OSS-Fuzz у Mozilla тоже активно работает), часть — assertion failures, часть — крайне тонкие условия эксплуатации. Реальный вклад ИИ в security Firefox ощутим, но до заявлений уровня «ИИ заменил фаззеры» ещё далеко.

Что ещё в Firefox 150

Помимо security, в релизе есть пользовательские улучшения:

  • Split View — открытие ссылки в правой панели через правый клик, поиск по открытым вкладкам
  • Мультивыбор вкладок с командой Copy X Links — массовое копирование ссылок
  • PDF-редактор умеет переупорядочивать, копировать и удалять страницы, экспортировать отдельные
  • about:translations теперь доступен через URL-строку — приватный локальный перевод
  • Встроенный VPN расширен на Канаду (был только США, Великобритания, Франция, Германия)
  • Profile Management вышел из беты для всех Windows-пользователей; появился бэкап профиля в файл на Windows 10/11
  • .rpm-пакет для RHEL, Fedora, openSUSE — раньше только тарболы или Flatpak
  • Web Platform: ariaNotify API, media pseudo-classes :playing/:paused, highlightsFromPoint(), light-dark() для изображений

На macOS исправили рендеринг эмодзи в Lockdown Mode — там был регресс. На Linux появился GTK emoji picker по горячей клавише в поле ввода.

Анти-супер-бокс: Project Glasswing

Параллельно с анонсом Firefox 150 Anthropic объявила о Project Glasswing — инициативе по безопасности критичного ПО с 12 launch-партнёрами: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks и сама Anthropic. Firefox — первый публичный case study; какие проекты будут следующими, Anthropic напрямую не заявляла.

FAQ
1
Как обновиться до Firefox 150?

На большинстве систем обновление придёт автоматически. Вручную: меню → «Справка» → «О Firefox» — появится кнопка «Перезапустить и обновить». На Linux проверьте пакетный менеджер (для Fedora/RHEL появился официальный .rpm).

2
Что с ESR?

21 апреля вышли Firefox ESR 140.10 (enterprise, текущая ветка) и ESR 115.35 (legacy, последние месяцы поддержки). Обе содержат соответствующие backport-фиксы из MFSA 2026-31 и 2026-32.

3
Claude работает внутри Firefox и видит мои данные?

Нет. Claude не интегрирован в Firefox — он прогонял исходники браузера в лаборатории Anthropic, не ваш трафик. В самом Firefox есть отдельные ИИ-фичи (автогенерация alt-текста, ИИ-обзоры рекомендаций), их можно полностью отключить в about:preferences.

4
Почему в заголовках пишут «271 уязвимость», а в MFSA только 41?

271 — агрегированное число bug reports от Claude Mythos за полгода партнёрства, включая дубликаты с fuzzing, assertion failures и менее критичные находки. 41 — реально присвоенные CVE-номера в Firefox 150. Корректная формулировка: «271 bug report, 41 из которых стали CVE».

5
Доступен ли Firefox 150 в России?

Да, Firefox продолжает обновляться в РФ. Встроенный Mozilla VPN недоступен для оплаты с российских карт (ограничение Mozilla, не РФ). Интеграций с Anthropic API в самом браузере нет — санкционный контекст релиза не касается.

Что это значит

Если используете Firefox — обновитесь до 150. В MFSA 2026-30 41 CVE, включая use-after-free в DOM, WebRTC, JavaScript Engine и WebAssembly. Значительная часть уязвимостей релиза найдена Anthropic Red Team через Claude Mythos Preview — конкретное число, приписанное AI, Mozilla не публикует.

Отдельная история — что ИИ становится заметным игроком в vulnerability research. Первая волна (Firefox 148, февраль 2026) принесла 22 CVE от Anthropic; к 150-й версии Mozilla рапортует о 271 уязвимости за всё партнёрство. При этом «271» — агрегированная метрика (включая пересечения с фаззингом и менее критичные находки), и The Register справедливо фильтрует её от pr-ного смысла. Трезвый взгляд: Claude Mythos помогает находить баги, но не заменяет fuzzing и ручное ревью — а дополняет их.

Release notes Firefox 150, MFSA 2026-30, первый отчёт Mozilla по партнёрству с Anthropic.

В этой статье
  1. Коротко
  2. Что за уязвимости
  3. Что сделал Claude
  4. Чего в Firefox 150 не появилось
  5. Что вызывает вопросы
  6. Что ещё в Firefox 150
  7. Анти-супер-бокс: Project Glasswing
  8. FAQ
  9. Что это значит
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter