Anthropic und Mozilla: KI findet 22 kritische Firefox-Lücken

KI-Sicherheitsforschung erreicht Durchbruch: Ein KI-Modell entdeckte in nur zwei Wochen 22 bisher unbekannte Schwachstellen im Firefox-Browser – darunter 14 kritische Lücken. Die Entdeckung markiert eine Zeitenwende für die automatisierte Cybersicherheit.

Am 6. März 2026 gaben das KI-Unternehmen Anthropic und der Browser-Entwickler Mozilla die Ergebnisse eines bemerkenswerten Experiments bekannt. Das große Sprachmodell Claude Opus 4.6 hatte in einer zweiwöchigen Testphase im Januar 2026 insgesamt 22 bisher unbekannte Sicherheitslücken im Quellcode von Firefox aufgespürt. 14 davon stuften die Experten als hochkritisch ein. Alle wurden bereits mit dem Update auf Firefox 148 Ende Februar 2026 geschlossen.

Die rasante Entwicklung von KI-Modellen wie Claude Opus verändert die IT-Sicherheit grundlegend und bringt neue regulatorische Anforderungen mit sich. Dieser kostenlose Leitfaden erklärt kompakt die EU-KI-Verordnung sowie wichtige Kennzeichnungspflichten und Fristen für Unternehmen. Gratis E-Book zur KI-Verordnung herunterladen

Die Dimension des Fundes ist enorm: Die 14 kritischen Lücken entsprechen etwa einem Fünftel aller hochriskanten Schwachstellen, die Mozilla im gesamten Jahr 2025 beheben musste. Branchenbeobachter sehen darin einen Wendepunkt. Künstliche Intelligenz wandelt sich vom theoretischen Sicherheitskonzept zum hocheffizienten Werkzeug für die Verteidigung komplexer Software.

Blitzschnelle Analyse im Millionen-Zeilen-Code

Die Methode hinter der Entdeckung zeigt die atemberaubende Geschwindigkeit KI-gestützter Code-Analyse. Das sogenannte Frontier Red Team von Anthropic setzte Claude Opus 4.6 auf fast 6.000 C++-Dateien im Firefox-Repository an. Die Effizienz war verblüffend: Schon nach 20 Minuten identifizierte das System die erste signifikante Schwachstelle – einen speicherbezogenen Fehler (use-after-free) in der JavaScript-Engine des Browsers.

Nach der manuellen Validierung durch Forscher in einer virtuellen Umgebung, um Fehlalarme auszuschließen, setzte der automatische Scan fort. Insgesamt generierte das System 112 einzigartige Bug-Reports. Mozilla-Ingenieure lobten die Qualität der Einreichungen: Begleitet von minimalen Testfällen, konnten die Sicherheitsteams die Probleme schnell reproduzieren und verifizieren. Dieser zielgerichtete Ansatz ermöglichte es den Entwicklern, innerhalb von Stunden nach Erhalt der KI-Berichte mit den Patches zu beginnen.

KI findet, was andere Methoden übersehen

Die 22 verifizierten Schwachstellen gliederten sich in 14 kritische, sieben mittelschwere und eine geringfügige Lücke. Die meisten wurden mit Firefox 148 behoben, die verbleibenden folgen in kommenden Updates.

Besonders bemerkenswert: Das KI-Modell entdeckte Fehlerklassen, die bisherigen Sicherheitsüberprüfungen entgangen waren. Während traditionelle automatisierte Testmethoden wie Fuzzing meist Standardfehler aufspüren, identifizierte die KI distinkte logische Fehler. „Die künstliche Intelligenz hat Lücken gefunden, die wir bei früheren, manuellen Durchläufen komplett übersehen haben“, bestätigte ein Mozilla-Sprecher.

Die große Lücke: Finden vs. Ausnutzen

Doch wie weit reichen die Fähigkeiten solcher KI-Systeme wirklich? Anthropic-Forscher testeten, ob Claude Opus 4.6 aus seinen Entdeckungen auch funktionierende Angriffe entwickeln konnte. Das Modell erhielt hunderte Versuche und nutzte API-Guthaben im Wert von etwa 4.000 US-Dollar.

Das Ergebnis offenbarte eine deutliche Schwäche aktueller KI-Systeme: Nur für zwei der Lücken gelang die Entwicklung funktionsfähiger Exploits. Und selbst diese waren nur grobe Browser-Angriffe, die ausschließlich in einer abgespeckten Testumgebung funktionierten – mit absichtlich deaktivierten Sicherheitsvorkehrungen.

Die Forscher zogen ein klares Fazit: Während große Sprachmodelle hervorragend darin sind, Code-Defekte zu einem Bruchteil der Kosten menschlicher Arbeit zu finden, scheitern sie noch deutlich an der komplexen, mehrstufigen Logik, die für vollständige Angriffsketten nötig ist. Die Entwicklung von Exploits, die moderne Browser-Sandboxen überwinden, bleibt vorerst menschliche Domäne.

Erfolgsmodell gegen die Flut falscher Alarme

Die Zusammenarbeit von Anthropic und Mozilla stellt einen Gegenentwurf zu einem wachsenden Problem der Branche dar: der Flut automatisierter, ungenauer Sicherheitsmeldungen. Sicherheitsexperten klagen zunehmend über schlechte KI-Reports. Daniel Stenberg, Lead-Entwickler des curl-Projekts, berichtete kürzlich, dass 2025 weniger als einer von 20 automatisierten Schwachstellen-Hinweisen tatsächlich berechtigt war.

Mozilla umging diese Flut falscher Positivmeldungen durch ein striktes Vorgehen: Das Anthropic-Team validierte alle Funde manuell und lieferte reproduzierbare Proof-of-Concept-Tests vor der offiziellen Einreichung mit. Dieses kollaborative Modell bewahrte die Firefox-Entwickler vor der Last erfundener Bugs und zeigt einen praktikablen Weg, KI-Sicherheitsforscher in Open-Source-Teams zu integrieren – ohne deren Arbeitsabläufe zu stören.

Paradigmenwechsel in der Anwendungssicherheit

Der erfolgreiche Einsatz eines KI-Modells gegen einen ausgereiften, intensiv geprüften Code wie den von Firefox signalisiert einen grundlegenden Wandel. Webbrowser gelten als besonders schwer zu sichern, aufgrund ihrer riesigen Angriffsfläche und ihrer Kernaufgabe: ständig nicht vertrauenswürdigen externen Code zu verarbeiten.

Dass ein KI-System nach jahrzehntelanger, rigoroser menschlicher Überprüfung und automatisiertem Fuzzing noch unbekannte Lücken findet, unterstreicht: Künstliche Intelligenz kann bestehende Sicherheitsparadigmen effektiv ergänzen.

Cybersicherheitsexperten sehen die aktuelle Technologielandschaft klar auf Seiten der Verteidiger. Da KI-Systeme derzeit deutlich besser darin sind, Bugs zu finden als die komplexen Exploit-Ketten zu schreiben, um sie zu weaponisieren, haben Organisationen einen deutlichen Vorteil. Sie können ihre Systeme patchen, bevor böswillige Akteure ähnliche Tools nutzen können. Doch diese Dynamik könnte sich drehen, warnen Analysten, sobald Sprachmodelle ihre logischen Fähigkeiten weiter verbessern und autonome Agenten-Frameworks reifen.

Während KI-gestützte Analysen neue Sicherheitslücken aufdecken, rüsten auch Cyberkriminelle ihre Methoden für Angriffe auf Unternehmen massiv auf. Dieser Experten-Report zeigt Ihnen effektive Strategien zur Stärkung Ihrer IT-Sicherheit, ohne dass dafür hohe Investitionen oder zusätzliches Personal nötig sind. Kostenlosen Cyber-Security Leitfaden sichern

Ausblick: KI wird zum Standard in der Software-Entwicklung

Die Integration künstlicher Intelligenz in Software-Sicherheitstests dürfte sich rapide beschleunigen. Anthropic plant bereits, seine KI-gestützte Sicherheitsforschung auf andere kritische Open-Source-Infrastruktur auszuweiten. Das Unternehmen hat Claude Opus 4.6 bereits auf den Linux-Kernel angesetzt, um nach unentdeckten Fehlern zu suchen.

In den kommenden Monaten wird die Cybersicherheitsbranche einen starken Anstieg bei Organisationen erleben, die große Sprachmodelle für interne Code-Audits vor Software-Veröffentlichungen einsetzen. Während vollständig autonome, hochfähige KI-Bedrohungen ein Zukunftsrisiko bleiben, zeigt die unmittelbare Entwicklung in eine andere Richtung: die tiefe Integration von KI-Agenten in Standard-Entwicklungspipelines.

Mit der Weiterentwicklung dieser Modelle werden die finanziellen und zeitlichen Kosten für die Schwachstellenerkennung voraussichtlich stark sinken. Das könnte zu einer massiven Bereinigung veralteter Bugs in der globalen Software-Lieferkette führen – ein lang ersehnter Fortschritt für die digitale Sicherheit aller.