Firefox 30 Günde 423 Güvenlik Açığını Claude ile Kapattı

Mozilla, Anthropic'in Claude Mythos Preview erişimini kazandıktan sonra Nisan 2026'da 423 Firefox güvenlik hatası düzeltmesi yayınladı; bu sayı, önceki 14 ayın toplamına kabaca eşit. Yalnızca Nisan 150 sürümü 271 düzeltme taşıdı — 180'i sec-high, 80'i sec-moderate, 11'i sec-low olarak derecelendirildi — 149.0.2, 150.0.1 ve 150.0.2 sürümlerine de ek yamalar dağıtıldı. Açıklanan örnekler arasında şunlar yer aldı: key() çağrılarının yedek depolamayı serbest bırakıp kullanımda ham bir işaretçi bırakabildiği 20 yıllık bir XSLT yeniden giriş sorunu (Bug 2025977), HTML öğesinde 15 yıllık bir kusur (Bug 2024437), key() çağrılarının yedek depolamayı serbest bırakıp kullanımda ham bir işaretçi bırakabildiği bir XSLT yeniden giriş sorunu, key() çağrılarının yedek depolamayı serbest bırakıp kullanımda ham bir işaretçi bırakabildiği 20 yıllık XSLT yeniden giriş sorunu, sahte nesne ilkeli verebilecek bir WebAssembly GC hatası, üst süreç referans sayılarını etkileyen IPC yarış koşulları, bir IPC sınırı boyunca ham NaN serisini kaldırma, DNS ayrıştırması sırasında üst süreç yığın belleği sızıntısı.

Neden önemli

Firefox, var olan en yoğun denetlenen tarayıcılardan biri; iç ekipler, dış araştırmacılar, fuzzer'lar ve bug bounty avcıları tarafından yirmi yıldır taranıyor. 20 yıllık bir XSLT kusurunun bu denetimden sağ çıkması, olgun kod tabanlarında istismara açık görünen kusurların ne kadar uzun süre varlığını sürdürebildiğine — ve keşif maliyetinin nasıl değiştiğine — dair en güçlü tek veri noktası. Mozilla, çıktıyı Claude Mythos Preview'a bağladı, ancak modelin sonucun yalnızca yarısı olduğunu vurguladı. Diğer yarısı, şirketin modeli belirli kod alanlarına yönlendirmek, tekrarlanabilir test senaryoları üretmek, gürültüyü filtrelemek, bulguları tekilleştirmek, önem derecesini triyaj etmek ve onaylanan hataları güvenlik yaşam döngüsüne taşımak için inşa ettiği bir çatıydı. Sertleştirme çabasına 100'den fazla kişi kod katkısı yaptı. Bu operasyonel iskele olmadan, modelin çıktısı kendi hacminin altında çökerdi — daha önceki AI üretimli güvenlik raporlarını açık kaynak bakımcıları için çalışılmaz kılan gürültü yükünün ta kendisi.

Piyasa etkisi

Asimetri, asıl hikâye. Mozilla'nın Nisan koşusundan önce Mythos düzeyinde araçlara sahip bir düşman aktör, daha geniş bir arama yüzeyine, daha hızlı kavram kanıtı üretimine ve daha derin bir zincirlenebilir ilkeller envanterine — ölçekten çok hassasiyet gerektiren sandbox kaçışı adayları dahil — sahip olurdu. Kripto yığını için çıkarım doğrudan. Tarayıcılar, kullanıcılar ile borsalar, cüzdanlar, köprüler, saklama panoları, yönetişim portalları ve yönetici konsolları arasında duruyor; hedeflenmiş bir kullanıcıya yönelik tarayıcı düzeyinde bir uzlaşma, oturumları ele geçirebilir, imzalanmadan önce işlem ayrıntılarını değiştirebilir, cüzdan istemleri enjekte edebilir ya da bir geliştiricinin makinesinden operasyonel altyapıya geçiş yapabilir.