Mozilla: AI-bugdetectie levert nauwelijks false positives op

vrijdag, 8 mei 2026 (10:26) - Techzine

In dit artikel:

Mozilla heeft AI gebruikt om honderden kwetsbaarheden in Firefox op te sporen en te verhelpen, en geeft nu voor het eerst gedetailleerd inzicht in hoe die methode werkt. Eerder meldde het bedrijf al dat het taalmodel Claude Mythos Preview betrokken was bij het vinden van 271 problemen in Firefox 150; in de nieuwe technische toelichting legt Mozilla uit hoe de resultaten tot stand kwamen en waarom de kwaliteit van AI-meldingen sterk is toegenomen.

De kern van de werkwijze is een door Mozilla ontwikkelde "harness" die het model precieze opdrachten geeft binnen de Firefox-codebase: gericht zoeken in specifieke bronnen, zelf testscenario’s genereren en die tests uitvoeren tegen speciale Firefox-builds en sanitizer-instrumentatie. Als een testcase een crash veroorzaakt in zo’n build, is dat een sterke aanwijzing voor een geheugenveiligheidsprobleem. Een tweede taalmodel beoordeelt de eerste bevindingen om foutieve of onbevestigde meldingen verder te filteren. Volgens Mozilla levert dit vrijwel geen false positives meer op, een belangrijke verbetering ten opzichte van eerdere AI-gebaseerde tools.

De gevonden kwetsbaarheden waren divers en zaten verspreid door verschillende onderdelen van Firefox; sommige bestonden al vijftien tot twintig jaar. Een deel betrof sandbox escapes, waarmee aanvallers vanuit een beperkt proces extra rechten kunnen verkrijgen. Door de AI-aanpak steeg het aantal opgeloste beveiligingsbugs fors: waar Firefox in 2025 meestal 20–30 fixes per maand had, werden er in april 2026 ineens 423 patches doorgevoerd. Van de 271 eerder genoemde bugs kregen er 180 het label sec-high (exploiteerbaar via bijvoorbeeld websites).

Mozilla zegt intern overtuigd te zijn van de meerwaarde en wil AI-analyse verder in het ontwikkelproces integreren, onder meer om automatisch nieuwe patches te controleren. Het bedrijf moedigt andere ontwikkelaars aan nu met zulke technieken te experimenteren om voorbereid te zijn op snelle modelverbeteringen. Eventuele risico’s—zoals afhankelijkheid van modellen en de noodzaak van menselijke verificatie—blijven echter aandachtspunten bij grootschalige inzet.