Claude Opus 4.6, Firefox'ta 22 Güvenlik Açığı Buldu

Anthropic, Mozilla ile yaptığı güvenlik iş birliğinde Claude Opus 4.6'yı Firefox kod tabanına iki hafta boyunca saldı. Sonuç: 22 ayrı güvenlik açığı tespit edildi ve bunların 14'ü yüksek öncelikli olarak sınıflandırıldı.

Ekip JavaScript motoruyla başladı, ardından kod tabanının diğer bölümlerine yayıldı. Firefox'un seçilme nedeni açık: "Hem karmaşık bir kod tabanı hem de dünyanın en iyi test edilmiş ve güvenli açık kaynak projelerinden biri." Yani kolay bir hedef değil. Tam tersine, geleneksel güvenlik araştırmacılarının yıllardır taradığı bir proje.

Bulunan açıkların büyük çoğunluğu şubat ayında yayınlanan Firefox 148 ile yamandı. Birkaçı için bir sonraki sürümü beklemek gerekiyor.

En dikkat çekici detay ise asimetri. Claude açık bulmada son derece başarılı olurken, bu açıkları istismar edecek kavram kanıtı (proof-of-concept) kodları yazmada çok daha zorlandı. Ekip 4.000 dolar API kredisi harcayarak exploit yazmaya çalıştı ama yalnızca iki vakada başarılı oldu.

Bu asimetri aslında olumlu bir işaret. AI'ın savunma tarafında güçlü ama saldırı tarafında sınırlı olması, güvenlik mühendisleri için ideal senaryo. Açıkları bulmak için ay süren manuel süreçler artık saatlere inebilir, ancak aynı araçların silah olarak kullanılma riski sınırlı kalıyor.

Açık kaynak projeleri için zamanlama da anlamlı. AI kodlama araçları bir yandan faydalı katkılar sunarken diğer yandan düşük kaliteli birleşme istekleri selini de birlikte getiriyor. Anthropic'in yaklaşımı farklı: kontrollü bir ortamda, hedefli güvenlik taraması. Rastgele pull request göndermek yerine, belirli bir süreç dahilinde çalışmak.

Sonuçta bu iş birliği, AI'ın yazılım güvenliğindeki rolünün sınırlarını ve potansiyelini aynı anda gösteriyor. Bir model tek başına bir exploit zinciri oluşturamayabilir ama güvenlik ekiplerinin ele alması gereken alanları işaret etmekte oldukça etkili.