Mozilla zegt met behulp van AI honderden beveiligingslekken in Firefox te hebben opgespoord en verholpen. Het bedrijf geeft daarbij voor het eerst uitgebreid inzicht in hoe het AI inzet om kwetsbaarheden in de browser op grote schaal te analyseren. Volgens Mozilla markeert de aanpak een fundamentele verandering in softwarebeveiliging.
De browsermaker maakte eerder al bekend dat AI-model Claude Mythos Preview betrokken was bij het vinden van 271 beveiligingsproblemen in Firefox 150. In een technische toelichting beschrijft Mozilla nu hoe die resultaten tot stand kwamen. Daarbij benadrukt het bedrijf dat de kwaliteit van AI-gegenereerde bugrapporten in korte tijd sterk is verbeterd.
Waar AI-meldingen enkele maanden geleden volgens Mozilla nog vaak bestonden uit foutieve waarschuwingen, zouden moderne modellen inmiddels complexe en reproduceerbare kwetsbaarheden kunnen identificeren. Mozilla koppelt die vooruitgang niet alleen aan krachtigere modellen, maar ook aan verbeterde technieken om AI-systemen gericht in te zetten voor beveiligingsonderzoek.
Volgens Mozilla ging het om uiteenlopende kwetsbaarheden verspreid over verschillende onderdelen van Firefox. Sommige fouten bleken al meer dan vijftien of zelfs twintig jaar in de code aanwezig te zijn. Een deel van de ontdekte problemen had betrekking op sandbox escapes, kwetsbaarheden waarmee aanvallers vanuit een beperkt browserproces extra rechten proberen te verkrijgen in het hoofdproces van de browser.
Vrijwel geen foutieve meldingen meer
Volgens Ars Technica zegt Mozilla dat de nieuwe aanpak vrijwel geen false positives meer oplevert. Dat vormt een belangrijk verschil met eerdere generaties AI-ondersteunde codeanalyse, waarbij ontwikkelaars veel tijd kwijt waren aan meldingen die uiteindelijk onjuist bleken.
Mozilla Distinguished Engineer Brian Grinstead verklaarde tegenover Ars Technica dat de door Mozilla ontwikkelde zogeheten harness hierin een centrale rol speelt. Dat systeem stuurt het taalmodel aan tijdens het analyseren van de Firefox-codebase. De AI krijgt concrete opdrachten, zoals het zoeken naar een kwetsbaarheid in een specifiek bronbestand, en kan vervolgens zelfstandig testscenario’s genereren en uitvoeren.
De harness geeft de modellen toegang tot dezelfde testinfrastructuur en speciale Firefox-builds die ook door Mozilla-engineers worden gebruikt. Wanneer een testcase Firefox laat crashen binnen een sanitizer build, geldt dat volgens Mozilla als een sterke aanwijzing voor een geheugenveiligheidsprobleem.
Mozilla gebruikt daarnaast een tweede taalmodel om de resultaten van het eerste model te beoordelen. Daarmee probeert het bedrijf foutieve of onbevestigde meldingen verder weg te filteren voordat beveiligingsonderzoekers ermee aan de slag gaan.
Sterke stijging aantal fixes
De inzet van AI heeft volgens Mozilla geleid tot een sterke stijging van het aantal beveiligingsupdates. Waar Firefox in 2025 doorgaans tussen de twintig en dertig beveiligingsbugs per maand oploste, liep dat aantal in april 2026 op tot 423 fixes.
Van de 271 eerder aangekondigde AI-gerelateerde bugs kregen er volgens Mozilla 180 het label sec-high. Dat zijn kwetsbaarheden die onder normale omstandigheden via bijvoorbeeld een website kunnen worden misbruikt.
Volgens Ars Technica zegt Mozilla intern inmiddels volledig overtuigd te zijn van de aanpak. Het bedrijf verwacht AI-analyse verder te integreren in het ontwikkelproces van Firefox. Mozilla onderzoekt momenteel hoe modellen automatisch nieuwe patches kunnen controleren zodra die aan de codebasis worden toegevoegd.
Mozilla roept andere softwareontwikkelaars op om nu al met dergelijke technieken te experimenteren. Volgens het bedrijf zullen organisaties die vroeg investeren in AI-ondersteunde beveiligingsanalyse beter voorbereid zijn op de snelle ontwikkeling van nieuwe modellen.