日本Mozilla宣布,利用Anthropic的顶级AI模型「Claude Mythos Preview」等人工智能技术,成功识别并修复了旗下网页浏览器Firefox中的大量潜在安全漏洞。在Firefox 150版本中,Claude Mythos Preview发现并修复了271个漏洞,同时在149.0.2、150.0.1及150.0.2版本中也发布了相关修补补丁。
Claude Mythos是Anthropic最新的前沿AI模型,因安全和风险考量被设定为非公开,仅限部分金融机构和安全企业使用。日本Mozilla作为其中一员,借助该模型强化了Firefox的安全性能。
此次发现的漏洞中包括存在超过15年的<legend>元素相关漏洞,以及长达20年的XSLT漏洞。其中部分漏洞可能导致沙箱逃逸,Mozilla指出,AI分析能够覆盖传统模糊测试难以触及的漏洞领域。
据日本Mozilla介绍,过去开源项目中利用生成式AI报告安全漏洞时,误报率较高,给维护者带来较大负担。但近几个月来,随着模型性能提升及控制和扩展技术的改进,噪声减少,整体情况显著改善。
本次项目基于现有模糊测试平台,构建了自主的代理型测试框架,指示AI模型进行漏洞探索及生成可复现的测试用例。初期使用Claude Opus 4.6进行小规模验证,随后通过多个临时虚拟机并行处理,针对不同文件逐步推进漏洞挖掘。
团队强调,仅发现漏洞不足以满足大规模运维需求,实用化还需整合已知问题去重、漏洞追踪、优先级划分及补丁发布等完整流程。
4月份发布的安全补丁共修复423个漏洞,且近几个月外部报告数量显著增加。此次项目超过100人参与,涵盖代码贡献、修复、审查、流程建设、优先级管理、测试及发布管理等环节。
未来计划在针对特定文件和函数的漏洞挖掘基础上,进一步整合至持续集成流程,实现补丁合并时自动扫描的机制。
