Firefox-Sicherheitslücken: Claude fand 22 Schwachstellen

Browser laufen auf fast jedem Computer und Smartphone. Sie öffnen Bankseiten, speichern Passwörter und verarbeiten täglich eine große Menge sensibler Daten. Genau deshalb stehen Programme wie Firefox dauerhaft im Fokus von Sicherheitsforschern.

Anfang 2026 kam ein ungewöhnlicher Test hinzu. Ein Team von Anthropic setzte sein Sprachmodell Claude gezielt auf den Firefox‑Code an. Das Modell analysierte den offenen Quellcode und meldete insgesamt 22 potenzielle Schwachstellen. Mozilla überprüfte diese Hinweise anschließend manuell und bestätigte sie. Laut den Entwicklern wurden 14 davon als hochkritisch eingestuft und in Firefox 148 behoben.

Die Meldung wirft eine größere Frage auf. Wenn eine KI innerhalb kurzer Zeit so viele Fehler findet, könnte sie die klassische Sicherheitsanalyse verändern. Gleichzeitig bleibt offen, wie zuverlässig solche Systeme wirklich arbeiten und welche Rolle menschliche Entwickler weiterhin spielen.

Der Test entstand aus einer Zusammenarbeit zwischen Mozilla und dem Sicherheits-Team von Anthropic. Ziel war ein experimenteller Sicherheitscheck des Firefox-Codes mithilfe des KI-Modells Claude. Innerhalb eines rund zweiwöchigen Untersuchungszeitraums meldete das System insgesamt 22 mögliche Sicherheitsprobleme.

Mozilla überprüfte diese Hinweise anschließend im eigenen Entwicklungsprozess. Die Entwickler bestätigten die Schwachstellen und veröffentlichten dafür offizielle CVE-Einträge. Insgesamt 14 dieser Fehler wurden als “high severity” eingestuft. Sie betrafen mehrere zentrale Teile des Browsers, darunter JavaScript‑Engine, WebAssembly, DOM-Komponenten, Grafiksysteme und Datenbanken wie IndexedDB.

Mozilla bestätigte insgesamt 22 CVEs aus der Analyse. Vierzehn davon wurden als hochkritische Sicherheitslücken bewertet und in einer neuen Firefox-Version geschlossen.

Typische Fehlerarten in solchen Fällen sind sogenannte “use-after-free”-Probleme oder falsche Speicherzugriffe. Dabei greift ein Programm auf Speicherbereiche zu, die bereits freigegeben wurden. Angreifer könnten solche Fehler theoretisch ausnutzen, um Code auszuführen oder Sicherheitsgrenzen zu umgehen. Wichtig ist jedoch: In diesem Fall wurden keine aktiven Angriffe gemeldet. Die Schwachstellen wurden entdeckt und behoben, bevor sie öffentlich ausgenutzt wurden.

Ein KI Schwachstellen-Scan im Code funktioniert anders als klassische Sicherheitswerkzeuge. Traditionelle Scanner arbeiten meist mit festen Regeln. Sie suchen nach bekannten Mustern, etwa gefährlichen Funktionen oder fehlenden Sicherheitsprüfungen.

Sprachmodelle analysieren dagegen den Kontext eines Programms. Sie lesen Code ähnlich wie Text und versuchen zu verstehen, wie Daten durch ein Programm fließen. Dabei erkennen sie manchmal Logikfehler, die nicht sofort aus einzelnen Codezeilen hervorgehen.

Moderne Systeme kombinieren mehrere Signalquellen. Dazu gehören statische Codeanalyse, bekannte Schwachstellenmuster und zusätzliche Informationen wie Commit‑Nachrichten oder Dokumentation. Das Modell formuliert anschließend eine Hypothese, warum eine bestimmte Stelle im Code ein Risiko darstellen könnte.

Entwickler prüfen diese Hinweise anschließend von Hand. Erst wenn ein Fehler reproduzierbar ist, wird daraus eine offizielle Sicherheitsmeldung. In der Praxis funktioniert KI daher eher als zusätzlicher Prüfer, der mögliche Problemstellen vorschlägt.

Trotz beeindruckender Ergebnisse bleiben KI-Scans fehleranfällig. Ein häufiges Problem sind sogenannte False Positives. Dabei meldet ein System eine Sicherheitslücke, die sich bei genauer Prüfung als harmlos herausstellt.

Studien zeigen, dass solche Fehlalarme häufig entstehen, wenn einem Modell wichtige Kontextinformationen fehlen. Ein Codeabschnitt kann gefährlich wirken, obwohl eine andere Funktion im Programm die Situation bereits absichert.

Deshalb messen Entwickler die Qualität eines KI-Security-Tools nicht nur an der Anzahl der Funde. Wichtiger sind reproduzierbare Tests, nachvollziehbare Begründungen und die Qualität der daraus entstehenden Patches. Ein Tool gilt als zuverlässig, wenn gemeldete Probleme sich klar bestätigen lassen und anschließend sauber behoben werden können.

Viele Teams kombinieren deshalb automatisierte Analyse mit menschlicher Prüfung. KI liefert Vorschläge und Hinweise, während erfahrene Entwickler entscheiden, ob tatsächlich ein Sicherheitsproblem vorliegt.

Für Nutzer bedeutet eine Meldung über neue Sicherheitslücken zunächst nicht, dass ein Angriff stattfindet. Eine entdeckte Schwachstelle ist lediglich ein potenzielles Risiko im Code. Erst wenn Angreifer sie aktiv ausnutzen, entsteht ein echtes Sicherheitsproblem.

In diesem Fall lief der Prozess nach einem etablierten Schema ab. Die Forscher meldeten ihre Funde zunächst vertraulich an Mozilla. Die Entwickler prüften die Hinweise und veröffentlichten anschließend Updates, die die Fehler schließen.

Für Anwender ist die wichtigste Konsequenz daher simpel. Browser sollten regelmäßig aktualisiert werden. Moderne Browser installieren Updates meist automatisch, doch ein Neustart des Programms stellt sicher, dass neue Sicherheitskorrekturen aktiv werden.

Zusätzlich kann eine einfache Browser-Härtung helfen. Dazu gehören Erweiterungen aus vertrauenswürdigen Quellen, deaktivierte unnötige Plugins und eine getrennte Nutzung von Profilen für Arbeit und private Konten. Solche Maßnahmen reduzieren die Auswirkungen möglicher Sicherheitslücken deutlich.

Die 22 gemeldeten Firefox Sicherheitslücken zeigen vor allem eines. KI-Systeme können heute reale Sicherheitsprobleme im Code finden und damit klassische Sicherheitsprüfungen ergänzen. Gleichzeitig bleibt ihre Rolle klar umrissen. Die Modelle liefern Hinweise, doch die endgültige Bewertung und Reparatur liegt weiterhin bei menschlichen Entwicklern.

Für Softwareprojekte könnte sich daraus ein neuer Arbeitsablauf entwickeln. KI analysiert große Codebasen, markiert mögliche Schwachstellen und unterstützt bei der Analyse. Entwickler prüfen diese Hinweise, reproduzieren die Fehler und erstellen Patches. Gerade in großen Open‑Source‑Projekten kann diese Kombination Zeit sparen.

Für Nutzer bleibt die wichtigste Konsequenz weiterhin einfach. Sicherheitsupdates installieren und den Browser aktuell halten. Die Arbeit im Hintergrund sorgt dafür, dass viele Probleme verschwinden, bevor sie überhaupt bemerkt werden.