Mozilla erklärt, wie Claude Mythos Firefox Sicherheitslücken fand

Firefox stuurt aan op diepere AI-integratie

Mozilla hat neue Details dazu veröffentlicht, wie Claude Mythos Preview und weitere KI Modelle beim Security Hardening von Firefox eingesetzt wurden. Das Firefox Team beschreibt in einem Mozilla Hacks Beitrag, dass Firefox 150 Fixes für 271 Sicherheitsbugs enthielt, die mit Claude Mythos Preview identifiziert wurden. Insgesamt behob Mozilla im April 2026 sogar 423 Security Bugs über mehrere Firefox Releases hinweg. Die Zahl ist ungewöhnlich hoch, weil Mozilla zuvor meist im Bereich von 20 bis 30 Security Fixes pro Monat lag. Der neue Bericht zeigt, wie schnell KI gestützte Codeanalyse von unbrauchbaren Bug Reports zu reproduzierbaren Sicherheitsfunden in einem komplexen Browserprojekt geworden ist.

Claude Mythos fand 271 Firefox Bugs für Version 150

Mozilla bewertet die Ergebnisse als deutlichen Sprung für KI gestützte Sicherheitsanalyse. Frühe KI Bug Reports waren für Open Source Projekte oft ein Problem, weil sie plausibel klangen, aber nicht reproduzierbar waren. Mozilla beschreibt nun eine andere Situation: Moderne Modelle können Hypothesen erzeugen, Testfälle bauen und Ergebnisse dynamisch prüfen. Dadurch sinkt die Zahl falscher Meldungen, während echte Fehler schneller sichtbar werden.

Die von Mozilla genannten Beispiele reichen von alten Layout Fehlern über WebAssembly, IPC, IndexedDB, WebTransport, DNS Parsing, XSLT, RLBox und Sandbox Escapes. Einige Bugs lagen laut Mozilla seit vielen Jahren im Code. Ein XSLT Fehler war rund 20 Jahre alt, ein anderer Fehler im <legend> Element rund 15 Jahre. Mehrere Funde betrafen Szenarien, in denen ein bereits kompromittierter Content Prozess versuchen könnte, in den privilegierten Parent Prozess auszubrechen.

KategorieZahlEinordnung
Claude Mythos Bugs in Firefox 150271Von Mozilla mit Claude Mythos Preview identifiziert und in Firefox 150 behoben
Firefox Security Bugs im April423Über mehrere Firefox Releases im April verteilt
sec-high Mythos Bugs180Hohes Risiko nach Mozillas interner Einstufung, aber nicht automatisch vollständiger Exploit
sec-moderate Mythos Bugs80Sicherheitsrelevant, aber mit komplexeren Voraussetzungen
sec-low Mythos Bugs11Fehler mit geringerem unmittelbarem Risiko

Mozilla baut KI Pipeline auf bestehender Fuzzing Infrastruktur

Der entscheidende Punkt ist nicht nur das Modell, sondern die Pipeline. Mozilla setzte Claude Mythos Preview nicht als einfachen Chatbot über den Code. Das Team baute einen agentischen Harness auf der bestehenden Fuzzing Infrastruktur. Dieser Harness kann Codebereiche untersuchen, Testfälle erzeugen, Hypothesen prüfen und reproduzierbare Ergebnisse zurückliefern.

Mozilla kombinierte menschliche Zielauswahl mit automatisierter Skalierung. Zuerst beobachteten Entwickler einzelne Läufe im Terminal, um Prompts und Logik zu verbessern. Danach liefen Jobs parallel auf kurzlebigen virtuellen Maschinen. Jede Instanz suchte in bestimmten Dateien oder Zielbereichen nach Bugs und schrieb Ergebnisse zurück. Anschließend mussten Bugs dedupliziert, triagiert, bewertet, gefixt, getestet und in Releases ausgeliefert werden.

Mozilla sieht darin eine neue Verteidigungsstrategie. KI ersetzt nicht die Security Engineers, sondern vergrößert deren Suchradius. Die Modelle finden potenzielle Fehler, aber Menschen müssen Schweregrad, Architekturfolgen, Fixes und Release Risiko bewerten. Genau diese Kombination erklärt, warum Mozilla die Funde in mehreren Releases wie Firefox 149.0.2, 150.0.1 und 150.0.2 weiter abgearbeitet hat.

Warum die Firefox Ergebnisse für andere Projekte wichtig sind

Mozilla warnt indirekt vor einer neuen Sicherheitsrealität. Wenn Verteidiger mit KI hunderte bislang unbekannte Bugs finden können, können Angreifer ähnliche Fähigkeiten ebenfalls nutzen. Der Unterschied liegt darin, ob Projekte eigene Pipelines aufbauen, bevor externe Akteure dieselben Codebereiche durchsuchen.

Mozilla empfiehlt anderen Projekten, früh mit modernen Modellen und einem Harness zu arbeiten. Schon einfache Prompts können helfen, wenn sie mit ausführbaren Testfällen, Sandboxing, Fuzzing und reproduzierbaren Ergebnissen kombiniert werden. Langfristig will Mozilla solche Analysen stärker in Continuous Integration integrieren, damit neue Patches beim Landen im Firefox Codebaum automatisch geprüft werden.

Für Firefox Nutzer ist die praktische Konsequenz einfach: Browser Updates bleiben besonders wichtig. Viele der jetzt behobenen Schwachstellen waren latent im Code vorhanden und wurden nicht öffentlich ausgenutzt gemeldet. Mozilla veröffentlichte Details nur in begrenztem Umfang, weil Nutzer mit alten Firefox Versionen weiterhin gefährdet sein könnten. Wer Firefox nutzt, sollte daher mindestens auf die aktuellen 150.x Releases oder neuer aktualisieren.

FAQ zu Firefox, Claude Mythos und KI Bug Hunting

Hat Claude Mythos Firefox automatisch gehackt?

Nein. Mozilla nutzte Claude Mythos Preview in einer kontrollierten internen Pipeline. Das Modell half beim Finden und Reproduzieren von Bugs, aber Mozilla Entwickler triagierten, prüften und behoben die Fehler.

Sind 271 Bugs gleich 271 praktisch nutzbare Exploits?

Nein. Mozilla erklärt ausdrücklich, dass sec-high oder sec-critical nicht automatisch einen vollständigen praktischen Exploit bedeutet. Moderne Browser brauchen oft mehrere Fehler in einer Exploit Kette.

Warum ist der Bericht trotzdem wichtig?

Der Bericht zeigt, dass KI Modelle inzwischen echte, komplexe Sicherheitsfehler in großen Codebasen finden können. Das verändert die Arbeit von Verteidigern und erhöht den Druck auf Projekte, ähnliche Prüfungen selbst einzusetzen.