Claude AI знайшов 22 вразливості у Firefox

💡 Усі статті, обговорення, новини про AI — в одному місці. Приєднуйтесь до AI спільноти!

Ще один тиждень у кібербезпеці 🤷‍♂️

Anthropic разом з Mozilla знайшли 22 нові вразливості у Firefox. Це ще один сигнал, що AI стає серйозним пришвидшенням для досліджень у кібербезпеці.

Але є і зворотний бік.

Групи на кшталт Transparent Tribe (APT з Пакистану) вже використовують AI-інструменти, щоб швидше писати та масштабувати malware. Скрипти, лоадери, соціальна інженерія — усе це зшивається в multi-stage атаки, які стають ефективнішими і простішими для масштабування.

AI, це не просто про продуктивність. Це про перевагу для тих, хто вміє ним користуватися.

Що ще привернуло мою увагу у кібербезі:

→ AI malware-кампанії проти цілей в Індії

→ іранська група MuddyWater використовує новий бекдор Dindoor проти мереж у США

→ китайські APT атакують телеком у Південній Америці через TernDoor, PeerTime і BruteEntry

→ Microsoft розкрили кампанію ClickFix, де через Windows Terminal розгортають Lumma Stealer

Цікавий тиждень.

Що було вам найбільше цікаво?

Про що було б цікаво почитати детальніше? Діліться у коментарях👇

Підписувайтесь на мій канал у Телеграм:

t.me/securediary

Теми: AI, Claude, Firefox

Ctrl + Enter

Alexander Dyachenko Senior C++ Developer в RingCentral 11.03.2026 12:12

именно поэтому каждый второй опен сорс проект сейчас воет от того, что их просто завалили false positive уязвимостями, которые типа находят агенты.
и найти что-то полезное среди этого мусора сегодня абсолютно невозможно.

Відповісти

Підтримати

Donald Trump 12.03.2026 04:38

і як завжди без пруфів

Alexander Dyachenko

Alexander Dyachenko Senior C++ Developer в RingCentral 12.03.2026 07:02

«Начиная с конца 2024 года и усиливаясь в течение 2025-го, Стенберг начал документировать новый феномен. Сгенерированные ИИ баг-репорты начали наводнять трекер задач проекта curl.

Это не были полезные вклады. Это были сфабрикованные уязвимости безопасности, написанные людьми, использующими ChatGPT, Claude или подобные инструменты для генерации убедительно звучащих, но полностью вымышленных отчетов об уязвимостях. Стенберг назвал это именно тем, чем это было: „DDoS-атакой на мейнтейнеров“.

Однако проблема часто кроется не в самом факте использования ИИ, а в качестве моделей и целях. Для реальной работы с кодом, рефакторинга и поиска настоящих (а не выдуманных) багов нужны топовые нейросети, которые меньше галлюцинируют.»

habr.com/.../bothub/articles/1002324

Donald Trump

Alexander Dyachenko Senior C++ Developer в RingCentral 12.03.2026 07:10

“Godot’s GitHub has increasingly many pull requests generated by LLMs and it’s a MASSIVE time waster for reviewers — especially if people don’t disclose it. Changes often make no sense, descriptions are extremely verbose, users don’t understand their own changes... It’s a total shitshow.”

bsky.app/....games/post/3mexoxyaui22x

Donald Trump 12.03.2026 08:22

За останні пів року лише 300 пул реквестів закрили без мержа.
Всього за 10 років 8к+ таких пул реквестів, або грубо говорячи 1000 в рік, або 500 в пів року.
Тобто статистика така ж як і до АІ.
Але щось мені здається, що кількість закритих реквестів з мержом виросла.

Швидше похоже не істерики ШІ хейтера, де всі криві пул реквести на зкидують, типу до того не було кривих пул реквестів.

До того ж, непонятно ким згенеровані ШІ пул реквести для якогось движка, це не те саме що:

каждый второй опен сорс проект сейчас воет от того, что их просто завалили false positive уязвимостями, которые типа находят агенты.

Ще приклади будуть?

Alexander Dyachenko Senior C++ Developer в RingCentral 12.03.2026 08:30

ну конечно гению со стороны виднее, чем тем, кто реально мейтенинг проект.

Stanislav Klevtsov Security Engineering Lead в Creatio 12.03.2026 09:51

Можливо, наведений репозиторій це і показник того, що відбувається в цілому і в інших проєктах. Але знов це не значить що все що репортить ШІ, або за допомогою ШІ — шлак. Просто треба це фільтрувати. А щоб легше було фільтрувати, можна той самий ШІ спробувати і застосовувати, щоб перевірити, критикувати і т.п. Авжеж, обережно, щоб знов-таки не відкинути якийсь реальний репорт по вразливості, який ШІ не пропустило.

Якось так на мою думку.

Stanislav Klevtsov Security Engineering Lead в Creatio 12.03.2026 09:48

Ну не зовсім. Я би не погодився. Те що багато false positives репортів не значить що все що ШІ репортить, або ті хто репортять за допомогою ШІ — це мотлох. Просто треба, як і будь яку іншу інормацію, як і будь який інший баг репорт — перевіряти. Проблема в тому, що люди просто репортять не перевіряючи, та, часто, навіть не розуміючи що вони репортять. Просто «авось пощастить та прокатить».

Я так вважаю. Буду радий почуту вашу думку.

Andrii Sevastianov Senior Developer в HCLTech 12.03.2026 11:50

По-перше, це класична задача спаму: вартість генерації набагато нижча за вартість фільтрації. Сабмітер використовує копійки, для аналізу треба витрачати багато часу або палити багато токенів.

По-друге, розраховувати на LLM як фільтр теж незрзуміло як спрацює, бо якщо модель не змогла відрізнити справжню вразливість від вигаданої на етапі генерації, навряд чи вона надійно це зробить на етапі верифікації.

Stanislav Klevtsov

Stanislav Klevtsov Security Engineering Lead в Creatio 13.03.2026 15:13

Проблему спаму (напр. у пошті) вирішують відповідними інструментами, впевнений, що можна зробити відповідний інструмент і для таких баг-репортів щоб відфільтровувати спам. Чи його зроблять, та коли зроблять , та чи взагалі хтось буде цим перейматися — побачимо.

Щодо ШІ як фільтру — як будь який інтрумент, його треба налаштувати. Одину і ту саму задачу з різними промтами ШІ може виконати як треба, або видати галюцінації. Різні моделі працюють краще для різних здач.

Коротко кажучи, так, біди багато від цих репортів, але маємо те що маємо, треба знаходити шляхи вирішення та використання цих репортів на користь (якщо це авжеж можливо).

Andrii Sevastianov

Andrii Sevastianov Senior Developer в HCLTech 13.03.2026 22:21

Навіть Google з мільярдами листів, доступом до статистики, метаданих, даними в реальному часі, поведінкових патернів і нескінченним бюджетом, і то пропускає спам. А тут... штучний унікальний контент, нема за що причепитися, бо кожен PR унікальний.

Stanislav Klevtsov Security Engineering Lead в Creatio 14.03.2026 11:31

Авжеж, ще не придумали інструменту який би блокував 100% спаму.
Хто зна, ШІ розвивається, чи він розпізнає штучний унікальний контент, думаю так. Особливо, якщо застосовувати правильні обмеження, наприклад, використовувати тільки фактичні або підтвердженні данні.

Stanislav Klevtsov Security Engineering Lead в Creatio 10.03.2026 12:57

Читайте мої інші топіки на Доу: dou.ua/...ers/stas-klevtsov/topics

Підписуйтесь на мій телеграм: t.me/securediary

Claude AI знайшов 22 вразливості у Firefox

14 коментарів

Підписатись на коментарі