Claude Opus 4.6 от Anthropic за две недели разобрал кодовую базу Firefox и выдал 22 официальные уязвимости - 14 из них Mozilla сразу признала критическими. Это примерно 20% от всех серьёзных багов браузера, которые пофиксили за весь 2025 год. Представьте? модель обработала около 6000 файлов на C++, сосредоточившись на JavaScript-движке - той самой части, где хакеры чаще всего копают под браузер. Первая уязвимость Use-After-Free (когда программа лезет в уже освобождённую память) всплыла всего через 20 минут после запуска. Что круто, Anthropic не просто кидал флаги с подозрениями, а слал полноценные пакеты. Минимальный тест-кейс для воспроизведения, детальное доказательство концепции и даже готовый патч. Инженеры Mozilla хватались за фиксы в считанные часы, без лишней возни. Для сравнения, обычные AI-сканеры статического анализа часто выдают тонну ложных срабатываний, а тут всё было на уровне human-reviewed отчётов. Пытались ли превратить баги в эксплойты? Да, Anthropic потратил тысячи долларов на API-кредиты и сотни итераций - и добился успеха только в двух случаях. Но оба эксплойта сработали лишь с выключенными защитами браузера, типа sandbox или ASLR. Вывод ясен. ИИ пока мастер находить дыры и объяснять их, но до полноценного кибер-оружия ему далеко. Защитники выигрывают в скорости - получают инструменты раньше атакующих. Mozilla уже интегрирует такой AI-анализ в свой security-пайплайн, а Anthropic с ними пилотируют task validator (это когда модель сама перепроверяет свои находки перед отправкой). Это меняет игру в браузерной безопасности. Скоро такие эксперименты станут нормой для всех больших проектов.