Anthropic·Mozilla, Claude Opus 4.6로 2주 만에 Firefox 취약점 22건 발견

Anthropic는 March 6, 2026 자 발표에서 Mozilla와 진행한 보안 협업을 공개하며 Claude Opus 4.6이 2주 동안 Firefox 취약점 22건을 찾아냈다고 밝혔다. 이 가운데 Mozilla는 14건을 high-severity vulnerability로 분류했다. Anthropic는 이 수치가 2025년에 remediation된 전체 high-severity Firefox vulnerability의 거의 5분의 1에 해당한다고 설명했다.

발표에 따르면 Claude Opus 4.6이 February 2026에 보고한 Firefox 취약점 수만 놓고 봐도 2025년 어느 한 달보다 많았다. Mozilla는 해당 보고를 받아 triage를 진행했고, 수정 사항을 Firefox 148.0에 반영해 hundreds of millions of users에게 배포했다. Anthropic는 이 과정이 AI model이 단순 보조 도구를 넘어 실제 product security workflow에 편입될 수 있음을 보여준다고 주장했다.

양사는 먼저 과거 Firefox CVE dataset을 기반으로 Claude가 기존 취약점을 얼마나 재현할 수 있는지 평가했다. 이후 현재 버전의 Firefox에서 아직 보고되지 않은 novel vulnerability를 찾는 방향으로 범위를 넓혔다. Anthropic는 JavaScript engine을 첫 실험 대상으로 선택했고, Claude Opus 4.6이 약 20분의 exploration 뒤 Use After Free bug를 보고했다고 설명했다. 연구원들은 별도 virtual machine에서 해당 bug를 검증한 뒤 Bugzilla에 root cause 설명과 Claude가 작성한 proposed patch를 포함한 bug report를 제출했다.

Anthropic는 이번 사례를 기존 benchmark 중심의 model evaluation이 실제 운영 환경의 security partnership로 이어진 사례로 소개했다. Firefox는 복잡한 codebase이자 널리 사용되는 browser이기 때문에, 여기서 novel bug를 찾아내는 능력은 open-source project 전반에서의 AI 활용 가능성을 가늠하게 한다는 설명이다. 동시에 browser vulnerability는 사용자가 매일 untrusted content를 다루는 환경과 직결되므로, 고위험 취약점 탐지 속도가 빨라지는 효과는 실사용자 보호와도 직접 연결된다.

이번 발표의 함의는 두 갈래다. 하나는 AI-assisted vulnerability research가 이미 실전 투입 가능한 수준으로 올라오고 있다는 점이다. 다른 하나는 maintainers와 security team이 AI가 만든 결과를 검증·수정·배포하는 절차를 어떻게 설계할지에 대한 운영 모델이 중요해졌다는 점이다. Anthropic와 Mozilla는 이번 협업을 AI-enabled security researchers와 software maintainers가 함께 일하는 새로운 기준 사례로 제시했다.