Neuer Ansatz zur Sicherheitsverbesserung: Mozilla entdeckt zahlreiche Schwachstellen in Firefox mit KI-Technologie

Revolution in der Cybersicherheit: Mozillas KI-Pipeline deckt hunderte Firefox-Schwachstellen auf

Die Landschaft der Cybersicherheit befindet sich in einem stetigen Wandel, angetrieben durch technologische Fortschritte und die wachsende Komplexität von Softwaresystemen. Eine aktuelle Entwicklung bei Mozilla, den Entwicklern des Firefox-Browsers, markiert einen signifikanten Schritt in der Anwendung künstlicher Intelligenz zur Verbesserung der Softwaresicherheit. Die Einführung einer agentischen KI-Pipeline, die auf Anthropic's "Claude Mythos Preview" basiert, hat zur Entdeckung und Behebung von 271 bisher unbekannten Schwachstellen in Firefox geführt. Dies ist ein Beleg für das Potenzial von KI, die Effizienz und Gründlichkeit von Sicherheitstests maßgeblich zu steigern.

Agentische KI-Systeme: Ein Paradigmenwechsel in der Schwachstellenanalyse

In der Vergangenheit waren Versuche, KI-Modelle wie GPT-4 oder Claude Sonnet 3.5 zur Code-Analyse einzusetzen, oft durch eine hohe Anzahl von "False Positives" beeinträchtigt. Diese Fehlalarme führten zu einem erheblichen Mehraufwand für Entwickler, da plausible, aber letztlich unzutreffende Fehlerberichte manuell überprüft werden mussten. Der Durchbruch, den Mozilla nun verzeichnet, liegt in der Nutzung agentischer KI-Systeme. Diese fortschrittlichen Modelle sind in der Lage, nicht nur potenzielle Schwachstellen zu identifizieren, sondern auch eigene Testfälle zu erstellen und auszuführen, um die Existenz und Reproduzierbarkeit eines Fehlers zu verifizieren. Dieser Selbstverifizierungsschritt ist entscheidend, um Spekulationen herauszufiltern und die Qualität der gemeldeten Befunde signifikant zu verbessern.

Mozilla begann mit kleineren, manuell überwachten Experimenten unter Verwendung von Claude Opus 4.6, skalierte den Prozess jedoch schnell auf eine Infrastruktur mit zahlreichen virtuellen Maschinen. Jede dieser VMs überprüft parallel eine einzelne Datei. Um die Effizienz weiter zu steigern, wurde eine umfassende Pipeline entwickelt, die doppelte Berichte dedupliziert, Funde priorisiert und den gesamten Prozess der Fehlerbehebung bis zur Veröffentlichung verfolgt. Diese systematische Herangehensweise ermöglichte es, im April 2026 insgesamt 423 Sicherheitsprobleme zu lösen – ein deutlicher Anstieg gegenüber dem bisherigen Rekord von 76 im März.

Tiefergehende Einblicke in die entdeckten Schwachstellen

Die von "Claude Mythos Preview" aufgedeckten Schwachstellen umfassen eine breite Palette an Problemen, von denen einige überraschend alt waren. Zu den bemerkenswertesten Funden gehören:

• Ein 15 Jahre alter Fehler im HTML-Label-Element, das für Formularbeschreibungen verwendet wird.
• Ein 20 Jahre alter Fehler im XML-Tool XSLT.
• Mehrere Möglichkeiten, die Sandbox von Firefox zu umgehen, ein Sicherheitsmechanismus, der Websites vom restlichen System isoliert. Ein Beispiel hierfür war eine HTML-Tabelle mit über 65.535 Zeilen, die zu einem Überlauf eines internen Zählers führte.
• Sogar die zusätzliche Sandbox von Mozilla für Drittanbieterbibliotheken, RLBox, konnte in einigen Fällen umgangen werden.

Diese Funde unterstreichen die Fähigkeit der KI, auch in komplexen und älteren Codebasen Schwachstellen zu entdecken, die menschlichen Prüfern oder traditionellen Fuzzing-Methoden entgangen sind.

Bestätigung bestehender Sicherheitsarchitekturen

Interessanterweise lieferten die KI-Analysen nicht nur neue Schwachstellen, sondern auch wertvolle Bestätigungen für bestehende Sicherheitsmaßnahmen. Mehrere Angriffsversuche, die auf eine Technik namens "Prototype Pollution" abzielten – eine Methode, die Angreifer in der Vergangenheit zur Umgehung der Sandbox nutzten – scheiterten. Dies lag an einer architektonischen Entscheidung, die Mozilla Jahre zuvor getroffen hatte, um diese Prototypen standardmäßig einzufrieren. Für die Entwickler war der direkte Nachweis, dass ihre bestehenden Verteidigungsmechanismen weiterhin wirksam sind, ebenso wertvoll wie die Entdeckung neuer Schwachstellen.

Viele der entdeckten Schwachstellen würden für einen vollständigen Angriff nicht ausreichen, sondern müssten mit anderen Fehlern kombiniert werden. Genau diese Art von Schwachstellen sind jedoch mit traditionellen Testmethoden wie Fuzzing schwer zu finden. Die KI-Analyse deckt dieses Feld wesentlich umfassender ab.

Zukunftsperspektiven und die Integration in den Entwicklungszyklus

Mozilla plant, die agentische KI-Pipeline direkt in den Entwicklungsprozess zu integrieren. Dies bedeutet, dass zukünftig jeder neue Code-Commit automatisch auf potenzielle Schwachstellen überprüft wird, bevor er in die Codebasis aufgenommen wird. Diese proaktive Herangehensweise könnte die Sicherheit von Firefox und anderen Softwareprodukten langfristig erheblich verbessern und das Zeitfenster zwischen der Entdeckung und der Behebung von Schwachstellen minimieren.

Die Ergebnisse dieser Initiative signalisieren einen potenziellen Paradigmenwechsel in der Cybersicherheit, bei dem Verteidiger einen entscheidenden Vorteil gegenüber Angreifern erlangen könnten. Die Fähigkeit, eine große Anzahl von Schwachstellen frühzeitig im Entwicklungszyklus zu identifizieren und zu beheben, verspricht eine robustere und widerstandsfähigere Softwarelandschaft. Es bleibt abzuwarten, wie sich diese Technologie weiterentwickelt und welche Auswirkungen sie auf die gesamte Softwarebranche haben wird.

Quellenangaben

• Mozilla Hacks Blog: "Behind the Scenes Hardening Firefox with Claude Mythos Preview"
• The Decoder: "Mozilla's agentic AI pipeline turns Claude Mythos Preview loose and finds 271 unknown Firefox vulnerabilities"
• Ars Technica: "Mozilla says 271 vulnerabilities found by Mythos have 'almost no false positives'"
• Schneier on Security: "Claude Mythos Has Found 271 Zero-Days in Firefox"
• WIRED: "Mozilla Used Anthropic's Mythos to Find and Fix 271 Bugs in Firefox"
• CSO Online: "Claude Mythos signals a new era in AI-driven security, finding 271 flaws in Firefox"
• InfoWorld: "Claude Mythos signals a new era in AI-driven security, finding 271 flaws in Firefox"
• Help Net Security: "What Mozilla learned running an AI security bug hunting pipeline on Firefox"
• Yahoo Tech: "Anthropic's Claude Mythos AI Finds 271 Vulnerabilities in Firefox—Yes, It's Seriously Powerful"