- Claude Opus 4.6 ने Mozilla के साथ सहयोग के माध्यम से Firefox में 22 कमजोरियाँ खोजीं, जिनमें से 14 को उच्च-जोखिम श्रेणी में वर्गीकृत किया गया
- इससे यह साबित हुआ कि AI मॉडल जटिल software में zero-day कमजोरियों का तेजी से पता लगा सकते हैं, और इनके fixes Firefox 148.0 version में शामिल किए गए
- Claude ने JavaScript engine सहित code के अलग-अलग हिस्सों में हज़ारों files का विश्लेषण किया और 112 reports जमा कीं, जिनके आधार पर Mozilla ने fixes किए
- यह भी पुष्टि हुई कि AI की कमजोरियाँ पता लगाने की क्षमता बहुत मजबूत है, लेकिन वास्तविक exploit (attack code) लिखने की क्षमता अभी सीमित है
- Anthropic ने AI-आधारित security research collaboration model का प्रस्ताव रखा और open source ecosystem के साथ सहयोग के ज़रिए defender-केंद्रित security strengthening पर ज़ोर दिया
Mozilla के साथ सहयोग का अवलोकन
- Claude Opus 4.6 ने 2 हफ्तों के विश्लेषण में Firefox की 22 कमजोरियाँ खोजीं, जिनमें से 14 को Mozilla ने उच्च-जोखिम माना
- यह 2025 में Firefox में ठीक की गई उच्च-जोखिम कमजोरियों का लगभग 20% है
- fixes Firefox 148.0 version में शामिल होकर करोड़ों उपयोगकर्ताओं तक पहुँचे
- Mozilla ने Anthropic की reports की पुष्टि करते हुए bug report standards और process साझा किए, जिससे एक collaborative verification system बना
- इस सहयोग को AI-आधारित security researchers और maintainers के बीच collaboration model के एक उदाहरण के रूप में पेश किया गया
AI मॉडल का उपयोग करके कमजोरी खोजने की प्रक्रिया
- Anthropic ने CyberGym benchmark से आगे बढ़कर अधिक यथार्थवादी test के लिए Firefox CVE dataset बनाया
- Firefox एक जटिल और उच्च-सुरक्षा वाला open source project है, इसलिए यह AI की detection capability को परखने के लिए उपयुक्त लक्ष्य था
- Claude ने पहले पुराने CVE को reproduce किया, फिर latest version में नई कमजोरियों को खोजने की कोशिश की
- पहले 20 मिनट में ही Use After Free memory vulnerability मिली, जिसे स्वतंत्र रूप से verify करने के बाद Mozilla को report किया गया
- इसके बाद Claude ने लगभग 6,000 C++ files का विश्लेषण कर 112 unique reports जमा कीं
- इनमें से अधिकांश समस्याएँ Firefox 148 में ठीक की गईं, जबकि कुछ का समाधान आने वाले versions में किया जाएगा
कमजोरी exploit प्रयोग
- Claude की security capability की ऊपरी सीमा का आकलन करने के लिए यह प्रयोग किया गया कि क्या खोजी गई कमजोरियों को वास्तविक attack code में बदला जा सकता है
- इसके लिए सैकड़ों tests और लगभग 4,000 डॉलर की API cost लगी
- नतीजतन केवल 2 मामलों में ही वास्तविक exploit सफल हुआ, यानी detection की तुलना में attack generation क्षमता कम रही
- सफल exploit केवल test environment में काम किए, जहाँ वास्तविक browser की sandbox security features हटाई गई थीं
- Firefox की multi-layered defense system ऐसे attacks को कम कर सकती है
- Anthropic ने इस प्रयोग के ज़रिए AI द्वारा attack tools के automated generation की संभावना को लेकर चेतावनी दी
AI-आधारित security research की best practices
- Anthropic ने patching agent research के ज़रिए ऐसे तरीके विकसित किए जिनसे LLM bug fix और verification कर सके
- इसमें Task verifier नामक सहायक tool का उपयोग किया गया, जो AI के नतीजों की real time में जाँच करता है
- यह अपने आप test करता है कि कमजोरी हटाई गई है या नहीं और program की functionality बनी हुई है या नहीं
- Mozilla द्वारा भरोसेमंद मानी गई reports के तीन मुख्य घटक थे
- न्यूनतम reproducible test case
- विस्तृत Proof-of-Concept
- candidate patch code
- शोधकर्ताओं को सलाह दी गई कि LLM-आधारित vulnerability reports जमा करते समय verifiability और reproducibility के प्रमाण भी साथ दें
आगे की दिशा और सुरक्षा मजबूत करने की आवश्यकता
- Claude Opus 4.6 ने Firefox के अलावा Linux kernel जैसे प्रमुख projects में भी कमजोरियाँ खोजीं
- फिलहाल AI की detection और patching capability, exploit generation capability से बेहतर है, जो defenders के लिए अनुकूल स्थिति है
- लेकिन models की प्रगति की गति को देखते हुए, attack capability gap के जल्दी कम होने की संभावना है
- Anthropic फिलहाल Claude Code Security के माध्यम से researchers और maintainers को vulnerability detection और patching capabilities दे रहा है
- कंपनी ने developers से security strengthening के golden time का उपयोग करने की अपील की और
- vulnerability discovery collaboration
- bug report classification tools का विकास
- automated patch suggestion features के विस्तार
की योजना बताई
अभी कोई टिप्पणी नहीं है.