HackerNews 编译，转载请注明出处： Anthropic 于 2026 年 1 月使用其 Claude Opus 4.6 AI 模型在 Firefox 中发现了 22 个安全漏洞。Mozilla 已在 Firefox 148 版本中修复了这些问题。 研究人员表示，AI 模型如今已能够独立发现高严重级别的软件缺陷。他们在两周内识别出 22 个 Firefox 漏洞，其中 14 个为高严重级别，数量接近 2025 年 Firefox 修复的所有高严重级别漏洞的五分之一，这表明 AI 具备在复杂软件中快速检测关键安全风险的能力。 2025 年末，Anthropic 在 Firefox 上对 Claude Opus 4.6 进行了评估，测试其识别复杂、高影响安全漏洞的能力。起初，该模型成功复现了旧版 Firefox 中许多已公开的历史 CVE 漏洞。随后，研究人员让 Claude 从 JavaScript 引擎开始，寻找此前未被报告过的新漏洞。在二十分钟内，Claude 就识别出一个释放后重用（Use After Free）漏洞，研究团队对其进行了验证，并向 Mozilla 提交了该漏洞及建议补丁。在问题分类处理过程中，Claude 又发现了数十个额外的崩溃问题，最终在近 6000 个 C++ 文件中提交了总计 112 份独立报告。 “在就双方流程进行技术讨论并分享了一些我们手动验证过的其他漏洞后，他们鼓励我们批量提交所有发现，无需逐一验证，即便我们不确定所有崩溃测试用例都存在安全影响。”Anthropic 发布的报告中写道。“到这项工作结束时，我们扫描了近 6000 个 C++ 文件，并提交了总计 112 份独立报告，其中包括上述高、中严重级别的漏洞。” 大多数问题，包括高、中严重级别的漏洞，均已在 Firefox 148 中修复，剩余补丁计划在未来版本中发布。 Mozilla 对此次合作表示赞赏，并已开始在内部尝试使用 AI 辅助安全研究。该项目表明，AI 在快速检测和报告关键软件缺陷方面的能力正在不断提升。 为测试 Claude Opus 4.6 利用漏洞的能力，研究人员向其提供此前提交给 Mozilla 的漏洞，要求其生成可正常运行的漏洞利用程序。Claude 进行了数百次尝试，演示了读取和写入本地文件的攻击，消耗了约 4000 美元的 API 额度。它仅在两个案例中成功生成了可运行的漏洞利用程序，这表明尽管该模型擅长发现漏洞，但利用漏洞的难度和成本要高得多。 “我们以不同的起点运行了数百次测试，花费了约 4000 美元的 API 额度。尽管如此，Opus 4.6 仅能在两个案例中将漏洞真正转化为可利用程序。这告诉我们两件事。” 报告继续写道。“第一，Claude 发现这类漏洞的能力远强于利用漏洞的能力。第二，识别漏洞的成本比为其制作利用程序低一个数量级。然而，Claude 能够自动开发出简单的浏览器漏洞利用程序，即便仅在少数案例中成功，这一事实仍令人担忧。” 成功生成的漏洞利用程序较为 “简陋”，且仅在禁用了沙箱等安全功能的受控测试环境中有效，这意味着其在现实环境中的影响有限。尽管如此，Claude 能够自动生成哪怕是最基础的浏览器漏洞利用程序，凸显出随着 AI 辅助攻击能力提升所带来的潜在风险。 “这些早期由 AI 实现漏洞利用开发的迹象表明，防御方必须加快发现与修复的流程。” 报告总结道。“根据我们的经验，当 Claude 能够使用另一个工具检查自身输出时效果最好。我们将这类工具称为‘任务验证器’：一种可信的方法，用于确认 AI 代理的输出是否真正达成目标。任务验证器在代理分析代码库时提供实时反馈，使其能够深度迭代直至成功。任务验证器帮助我们发现了上述 Firefox 漏洞，并且在另一项研究中，我们发现它们对修复漏洞同样有用。” Mozilla 表示，AI 辅助分析还发现了另外 90 个 Firefox 漏洞，其中大部分已修复，包括传统模糊测试所遗漏的逻辑错误，这凸显了 AI 在安全领域日益重要的作用。 “发现的规模体现了将严谨工程与新型分析工具相结合以实现持续改进的力量。我们认为这明确证明，大规模 AI 辅助分析是安全工程师工具箱中一项强大的新工具。”Mozilla 表示。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一场名为 GhostPoster 的新活动被发现利用 17款 Mozilla Firefox 浏览器扩展程序的 标志文件，嵌入旨在劫持联盟链接、注入追踪代码以及实施点击和广告欺诈的恶意JavaScript代码。 据发现此次活动的 Koi Security 称，这些扩展程序已被累计下载 超过5万次。目前相关插件已不可用。 这些浏览器程序被宣传为VPN、截图工具、广告拦截器以及非官方版本的谷歌翻译等。其中最早上架的扩展程序 Dark Mode 发布于2024年10月25日，声称能为所有网站启用深色主题。受影响的浏览器扩展程序完整列表如下： Free VPN Screenshot Weather (weather-best-forecast) Mouse Gesture (crxMouse) Cache – Fast site loader Free MP3 Downloader Google Translate (google-translate-right-clicks) Traductor de Google Global VPN – Free Forever Dark Reader Dark Mode Translator – Google Bing Baidu DeepL Weather (i-like-weather) Google Translate (google-translate-pro-extension) 谷歌翻译 libretv-watch-free-videos Ad Stop – Best Ad Blocker Google Translate (right-click-google-translate) 安全研究人员 Lotan Sery 和 Noga Gouldman 表示：”它们实际交付的是一个多阶段恶意软件载荷，会监控你浏览的所有内容，剥离浏览器的安全防护，并打开一个用于远程代码执行的后门。“ 攻击链始于加载上述任一扩展程序时获取其标志文件。恶意代码会解析该文件，寻找包含”===”标记的特定部分，以提取出JavaScript代码——一个加载器。该加载器会联系外部服务器以获取主载荷，每次尝试之间等待 48小时。 为进一步逃避检测，加载器被设定为仅在 10% 的情况下才去获取载荷。这种随机性是蓄意设计，旨在规避网络流量监控。 获取的主载荷是一个经过自定义编码的全面工具包，能够在受害者不知情的情况下通过四种方式从其浏览器活动中牟利： 联盟链接劫持：拦截指向淘宝、京东等电商网站的联盟链接，剥夺合法联盟会员的佣金。 追踪代码注入：向受害者访问的每个网页插入谷歌分析追踪代码，默默收集其用户画像。 安全标头剥离：从HTTP响应中移除如内容安全策略和X-Frame-Options等安全标头，使用户面临点击劫持和跨站脚本攻击风险。 隐藏Iframe注入：向页面注入不可见的iframe，加载攻击者控制服务器上的URL，用于广告和点击欺诈。 验证码绕过：采用多种方法绕过验证码挑战，规避机器人检测防护。 研究人员解释道：”为什么恶意软件需要绕过验证码？因为其部分操作（如隐藏iframe注入）会触发机器人检测。恶意软件需要证明自己是’人’才能继续运行。“ 除了概率检查，这些扩展程序还采用了基于时间的延迟，确保在安装超过六天后恶意软件才会激活。这些分层规避技术使得发现其幕后活动更加困难。 需要强调的是，并非所有上述扩展程序都使用完全相同的隐写攻击链，但它们都表现出相同的行为，并与相同的命令与控制基础设施通信，这表明这很可能是同一威胁行为者或组织所为，他们尝试了不同的诱饵和方法。 就在几天前，一款流行的适用于谷歌Chrome和微软Edge的VPN扩展程序被发现秘密收集ChatGPT、Claude和Gemini的AI对话，并将其外泄给数据代理商。而在2025年8月，另一款名为FreeVPN.One的Chrome扩展被发现收集屏幕截图、系统信息和用户位置。 “免费VPN承诺隐私，但天下没有免费的午餐，” Koi Security 评论道，”一次又一次，它们带来的是监控。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布安全更新，修复其Firefox浏览器中两个可能被用于窃取敏感数据或执行任意代码的严重漏洞。这两个漏洞均作为零日漏洞在Pwn2Own柏林黑客大赛中被利用，详情如下—— CVE-2025-4918：解析Promise对象时存在的越界访问漏洞，攻击者可借此对JavaScript Promise对象实施读写操作。 CVE-2025-4919：优化线性累加运算时存在的越界访问漏洞，攻击者可通过混淆数组索引尺寸对JavaScript对象实施读写操作。 简而言之，成功利用任一漏洞的攻击者都能实施越界读写，进而窃取敏感信息或造成内存损坏，最终实现代码执行。该系列漏洞影响范围包括： 138.0.4版本之前的所有Firefox浏览器（含安卓版） 128.10.1版本之前的所有Firefox扩展支持版（ESR） 115.23.1版本之前的所有Firefox ESR版本 CVE-2025-4918的发现与报告归功于Palo Alto Networks的Edouard Bochin与Tao Yan，CVE-2025-4919则由Manfred Paul发现。值得注意的是，这两个漏洞在上周的Pwn2Own柏林赛事中被成功演示利用，发现者各获得5万美元奖金。 Mozilla在声明中强调：“两起攻击均未突破我们的沙箱环境（这是获取用户系统控制权的必要条件）。尽管实际影响有限，仍建议所有用户和管理员立即升级至最新版本。”鉴于浏览器仍是恶意软件传播的主要载体，及时更新成为抵御潜在威胁的关键措施。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。 这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。 “在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。 “受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。” 该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：   – Firefox 136.0.4   – Firefox ESR 115.21.1   – Firefox ESR 128.8.1   目前没有证据表明CVE-2025-2857在野外被利用。 与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。 卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。 据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。 美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。 建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Firefox 浏览器制造商 Mozilla 在上周五一周内第二次更新其使用条款，此前因条款中出现的宽泛语言似乎赋予该公司对用户上传所有信息的权利而受到批评。 修订后的使用条款现声明： 您授予 Mozilla 运行 Firefox 所需的权利。这包括按照 Firefox 隐私声明中所述处理您的数据。这也包括为了按照您在 Firefox 中输入内容的请求而授予的非独占、免版税、全球范围的许可。但这并不授予 Mozilla 对该内容的所有权。 此前，该条款于 2 月 26 日生效的版本声明： 当您通过 Firefox 上传或输入信息时，您在此授予我们非独占、免版税、全球范围的许可，以使用该信息帮助您按照您使用 Firefox 的方式浏览、体验和互动在线内容。 此举发生在该公司首次推出 Firefox 使用条款以及更新隐私声明几天之后，后者旨在让用户更清楚地了解其数据处理方式。 Mozilla 产品副总裁阿吉特・瓦尔马在一份声明中表示：“我们一直在倾听我们社区对使用条款某些部分的担忧，特别是关于许可的问题。我们的初衷只是尽可能清楚地说明我们如何让 Firefox 正常运行，但在这样做的过程中，我们也造成了一些困惑和担忧。” Mozilla 强调，它不会出售或购买用户数据，并且之所以做出这些更改，是因为某些司法管辖区对 “出售” 一词的定义比其他地区更广泛，涵盖了消费者个人信息与另一方交换金钱或其他利益的各种方式。 此外，Mozilla 指出，它已经收集并与合作伙伴共享一些数据，这些数据来自新标签页上的可选广告以及搜索栏中的赞助建议，以此保持 “商业可行性”。 Mozilla 还指出，虽然它不会访问用户通过侧边栏（以及通过快捷方式）启用的第三方人工智能（AI）聊天机器人的对话，但它确实收集有关此功能使用情况的技术和互动数据，以帮助改进 Firefox 浏览器。 这包括每个第三方聊天机器人提供商被选择的频率、建议提示被使用的频率以及所选文本的长度。 “每当我们与合作伙伴共享数据时，我们会投入大量精力确保我们共享的数据被剥离了潜在的识别信息，或者仅以汇总形式共享，或者通过我们的隐私保护技术（如 OHTTP）进行处理，” 瓦尔马说道。 对 Mozilla 使用条款的反对紧随谷歌新的广告跟踪政策之后，该政策引起了监管机构和监督机构的审查，他们表示这引发了隐私担忧。 于 2025 年 2 月 16 日生效的广告平台计划政策允许使用 IP 地址对用户进行指纹识别，并在无需重新识别的情况下跨平台追踪用户。英国信息专员办公室（ICO）称其为 “不负责任” 的改变。 ICO 在一份声明中表示：“寻求部署指纹识别技术用于广告的组织需要证明他们如何遵守数据保护法的要求。这些要求包括向用户提供透明度、确保自由给予的同意、确保公平处理以及维护诸如擦除权之类的信息权利。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级，包含了两个高影响力的安全漏洞。 Mozilla 称，这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。 XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档，而 WebGPU 是一种新兴的 web 标准，被宣传为当前 WebGL JavaScript 图形库的继承者。 这两个漏洞的描述如下- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞 CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离 Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱” Mozilla 承认，“我们收到了这两个漏洞成为攻击武器的报告”，但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。 考虑到这些漏洞，建议用户尽快升级到 Firefox 97.0.2，Firefox ESR 91.6.1，Firefox for Android 97.3.0，Focus 97.3.0和 Thunderbird 91.6.2。   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文