Leute, ich muss zugeben: Als ich heute Morgen die Nachricht gelesen habe, musste ich zweimal hinschauen. Mozilla hat im April 2026 ganze 423 Sicherheitslücken in Firefox gefixt. Zum Vergleich: Der Monatsdurchschnitt im Jahr 2025 lag bei etwa 21 Bugs. Das ist nicht mal ein leichter Anstieg – das ist eine Explosion um den Faktor 20. Und der Grund dafür? Künstliche Intelligenz. Genauer gesagt: Anthropics Claude Mythos Preview.
Was Mozilla hier auf die Beine gestellt hat, könnte die Art und Weise, wie wir über Browser-Sicherheit und Software-Wartung denken, grundlegend verändern. Aber lasst uns das Ganze mal von Anfang an aufdröseln.
Die KI als Sicherheitsjäger: Was Mozilla gemacht hat
Mozilla bekam frühzeitigen Zugang zu Claude Mythos Preview, einem unveröffentlichten KI-Modell von Anthropic, das als so leistungsfähig gilt, dass es aus Sicherheitsgründen nicht öffentlich verfügbar ist. Die Entwickler integrierten dieses Modell in eine sogenannte „agentic pipeline“ – ein System, das die KI autonom durch den Firefox-Code schickt, um nach Schwachstellen zu suchen.
Von den 423 im April gefixten Bugs wurden 271 direkt durch Claude Mythos Preview identifiziert. Die Fixes landeten hauptsächlich in Firefox 150, das am 21. April erschien, sowie in den Folgeupdates 149.0.2, 150.0.1 und 150.0.2. Besonders beunruhigend: Von den 271 KI-entdeckten Bugs wurden 180 als „sec-high“ eingestuft – also als Schwachstellen, die durch bloßes Besuchen einer manipulierten Webseite ausgenutzt werden konnten.
Über 100 Entwickler arbeiteten daran, diese Masse an Patches zu überprüfen, zu testen und auszuliefern. Das war keine kleine Aktion – das war ein koordinierter Großeinsatz.
20 Jahre alte Bugs: Was die KI gefunden hat
Was mich wirklich beeindruckt hat, sind die konkreten Beispiele, die Mozilla öffentlich gemacht hat. Die KI fand unter anderem einen 15 Jahre alten Bug im HTML-legend-Element, der durch eine präzise Orchestrierung von Rekursionsstack-Tiefen getriggert wurde. Noch verrückter: Ein 20 Jahre alter Use-After-Free-Bug in der XSLT-Engine, bei dem reentrant-Aufrufe dazu führten, dass eine Hash-Tabelle ihren Speicher freigab, während ein Pointer noch darauf zeigte.
Diese Bugs hatten jahrelang alle traditionellen Fuzzing-Methoden überlebt. Die KI fand sie nicht durch Zufall, sondern durch systematisches Analysieren des Codes und das Erstellen von reproduzierbaren Proof-of-Concept-Exploits. Besonders wertvoll war die KI beim Aufspüren von Sandbox-Escape-Schwachstellen – jene kritischen Bugs, die es einem Angreifer ermöglichen würden, aus dem abgesicherten Browser-Bereich auszubrechen. Diese sind notorisch schwer mit traditionellen Methoden zu finden.
Von „Slop“ zu echten Ergebnissen: Der technische Durchbruch
Jetzt mal ehrlich: Wer in der Branche unterwegs ist, weiß, dass KI-generierte Bug-Reports bisher eher für Kopfschmerzen gesorgt haben. Mozilla schreibt selbst, dass frühere Versuche mit GPT-4 und Claude Sonnet 3.5 hauptsächlich „unwanted slop“ produzierten – Berichte, die plausibel klangen, aber schlicht falsch waren.
Der Durchbruch kam durch zwei Faktoren: Erstens die verbesserten Fähigkeiten der neuesten Modelle. Zweitens – und das ist meiner Meinung nach der eigentliche Gamechanger – die sogenannte „agentic harness“, die Mozilla entwickelt hat. Diese Middleware gibt der KI nicht einfach Code zum Analysieren, sondern einen kompletten Workflow mit Fuzzing-Tools, virtuellen Maschinen und der Möglichkeit, reproduzierbare Testfälle zu erstellen.
Mozilla-Ingenieur Brian Grinstead bringt es auf den Punkt: Bei den von diesem System gefundenen Bugs gibt es „almost no false positives“. Die KI spekuliert nicht mehr – sie beweist.
Was das für uns Nutzer bedeutet
Mozilla plant, diese KI-Pipeline direkt in ihr Continuous-Integration-System zu integrieren. Das heißt: In Zukunft wird jeder neue Code-Patch automatisch von der KI auf Sicherheitslücken gescannt, bevor er überhaupt in den Browser kommt. Das ist ein fundamentaler Paradigmenwechsel von reaktiver zu proaktiver Sicherheit.
Für euch als Firefox-Nutzer heißt das: Stellt sicher, dass ihr auf Firefox 150 oder neuer seid. Die schiere Anzahl der gepatchten Bugs – viele davon mit hoher Ausnutzbarkeit – macht dieses Update zu einem der wichtigsten in der Geschichte des Browsers.
Mein Fazit
Ich bin ehrlich: Ich bin beeindruckt, aber auch ein bisschen nachdenklich. Was Mozilla hier zeigt, ist das enorme Potenzial von KI für defensive Cybersicherheit. Browser sind heute quasi kleine Betriebssysteme geworden – sie rendern nicht nur Webseiten, sondern führen komplexe Grafik-Engines, JavaScript-Runtimes und WebGPU-Implementierungen aus. Da kann kein menschliches Team mehr mithalten.
Gleichzeitig zeigt das auch, wie viel technische Schuld sich über 20 Jahre in einer Codebasis ansammeln kann. Wenn eine KI in einem Monat mehr findet als Menschen in Jahren, dann sollten andere Open-Source-Projekte schleunigst aufhorchen.
Mozilla fordert die gesamte Software-Industrie auf, ähnliche KI-gestützte Sicherheitspipelines zu implementieren. Und ich muss sagen: Sie haben Recht. Das hier ist nicht nur ein PR-Coup – es ist ein Weckruf.
Update: Prüft eure Firefox-Version über Hilfe → Über Firefox und aktualisiert auf mindestens Version 150. Ernsthaft, macht das jetzt.
Kommentar verfassen