Mozilla hat im April 2026 insgesamt 423 Sicherheitsfehler in Firefox behoben — 271 davon direkt identifiziert durch Anthropics Claude Mythos Preview, ein KI-Modell, das bislang nicht öffentlich zugänglich ist. Zum Vergleich: Im Januar 2026 waren es gerade einmal 25 behobene Bugs. Das ist kein gradueller Fortschritt, das ist ein Sprung um fast das 17-Fache innerhalb weniger Monate.
- Mozilla hat im April 2026 mithilfe des KI-Modells Claude Mythos Preview Hunderte Sicherheitslücken in Firefox behoben.
- Die dynamisch in die Test-Pipeline integrierte KI fand selbst tief versteckte, 20 Jahre alte Bugs, die herkömmlichen Tools entgingen.
- Wegen potenzieller Missbrauchsrisiken durch Cyberkriminelle bleibt das mächtige KI-Modell von Anthropic für die Öffentlichkeit strikt gesperrt.
Agentic Harness: Wie Mozilla Claude Mythos in die Pipeline integriert
Mozilla veröffentlichte am 7. Mai 2026 einen detaillierten Blogpost auf Mozilla Hacks, in dem das Team beschreibt, wie Claude Mythos Preview in die bestehende Sicherheits-Infrastruktur eingebunden wurde. Das Modell wurde in eine sogenannte "agentic harness" integriert — ein System, das die KI dynamisch Testfälle generieren und validieren lässt, eingebettet in die vorhandene Fuzzing-Pipeline. Dabei stieß Mythos auf Schwachstellen, die jahrelang unentdeckt blieben: Darunter ein 20 Jahre alter XSLT-Bug (Bug 2025977) und ein weiterer Fehler im <legend>-Element (Bug 2024437), der seit 15 Jahren im Code schlummerte. Beide wurden von herkömmlichen Fuzzing-Tools nie aufgespürt.
Die 271 direkt auf Mythos zurückgeführten Bugs teilen sich auf in 180 mit der Einstufung "sec-high", 80 als "sec-moderate" und 11 als "sec-low" — das ist kein Rauschen, das ist ein strukturierter Qualitätsbefund.
Frühere KI-Systeme im Sicherheitsbereich hatten ein bekanntes Problem: Sie produzierten, was Mozilla in ihrem Blogpost direkt als "unwanted slop" bezeichnet — Berichte, die plausibel klangen, sich aber als inhaltlich falsch erwiesen. Der Grund: Die Modelle konnten große, verwachsene Codebasen wie einen Browser-Kern nicht wirklich durchdringen. Das hat sich geändert. "The models got a lot more capable", schreibt Mozilla knapp — und die Zahlen sprechen für sich. Anthropics Frontier Red Team übermittelte bereits im Februar 2026 erste Fehlerberichte (CVE-2026-6746, 6757, 6758) direkt an Mozilla, bevor die breitere Integration startete.
Claude Mythos Preview ist trotz dieser Ergebnisse nicht öffentlich verfügbar. Anthropic hält das Modell bewusst zurück, weil seine Fähigkeiten laut eigener Einschätzung Risiken für die nationale Sicherheit und für organisierte Cyberkriminalität bergen. Der Zugang ist auf rund 40 ausgewählte Organisationen beschränkt — Mozilla ist eine davon.
Mozilla plant, die KI-gestützte Analyse direkt in den Entwicklungs-Workflow von Firefox zu integrieren — nicht als einmaliges Audit, sondern als dauerhaften Bestandteil der Entwicklungspipeline. Was das in der Praxis bedeutet: Sicherheitsprüfungen, die heute noch nach Release-Zyklen stattfinden, könnten künftig kontinuierlich parallel zur Entwicklung laufen. Für die Browserbranche insgesamt setzt das einen neuen Maßstab — und für alle anderen Softwareanbieter, die noch klassisch auf manuelle Code-Reviews und regelbasiertes Fuzzing setzen, eine klare Botschaft: Der Abstand wächst.
❓ Häufig gestellte Fragen
📰 Recherchiert auf Basis von 2 Primärquellen (hacks.mozilla.org, businessinsider.com)
📚 Quellen
