当Anthropic在四月发布其全新Mythos模型时,同时向所有软件开发者发出了严肃警告。该模型在识别软件漏洞方面表现出极强的能力,据实验室称,它发现了数千个高严重性漏洞,必须在公开发布前修复这些漏洞。
如今,Mozilla Firefox浏览器的安全研究人员揭示了这一过程的实际运作情况,以及Mythos的能力对软件安全领域的深远影响。
Mozilla在周四发布的文章中表示,Mythos发现了大量高严重性漏洞,其中一些漏洞在代码中潜伏了十多年。
这相比六个月前的AI安全工具有了显著提升。此前,AI漏洞检测工具存在严重缺陷,经常给安全团队带来大量低质量报告和误报。但Mozilla的研究人员表示,最新一代工具已经实现了突破,尤其是当具备自主评估和筛选结果能力的智能系统出现后。
“在短短几个月内,这种动态变化难以用言语形容,”研究人员写道。“首先,模型的能力大幅提升。其次,我们极大地改进了利用这些模型的技术。”
结果令人震惊:2026年4月,Firefox发布了423个漏洞修复补丁,而一年前同期仅为31个。研究人员还公布了12个漏洞的详细信息,涵盖了从罕见的沙箱漏洞到浏览器解析HTML元素时存在的15年老错误。
Mozilla的资深工程师Brian Grinstead告诉TechCrunch:“这些工具现在真的非常出色。我们在内部扫描、外部漏洞报告以及行业内各种信号中都能感受到这一点。”
特别值得一提的是,Mythos帮助发现了Firefox“沙箱”系统中的漏洞,这种漏洞的攻击极其复杂。要找到沙箱漏洞,模型必须编写一个被破坏的补丁,然后用新代码攻击软件中最安全的部分。发现并演示该漏洞是一个细致且多步骤的过程,既需要创造力,也需要高度专注。
作为对比,Mozilla的漏洞赏金计划对发现Firefox沙箱漏洞的研究人员最高奖励达2万美元——这是最高的奖金。尽管奖金丰厚,Grinstead表示Mythos发现的沙箱漏洞数量远超人类研究者。“我们确实能找到这些漏洞,”他说,“但数量远不及通过这种技术发现的多。”
值得注意的是,尽管AI编码工具取得了显著进步,Firefox团队仍未使用AI自动修复漏洞。团队会让AI为每个漏洞编写补丁代码,但生成的代码通常不能直接部署,而是作为人类工程师的参考模型。
“对于本文提到的漏洞,每一个都是一名工程师编写补丁,另一名工程师进行审核,”Grinstead说,“我们还没有找到自动化的可行方法。”
AI新兴能力将如何改变网络安全的整体格局仍不明朗。Mythos发布一个月后,大多数发现的漏洞可能尚未修复,难以全面评估其影响。Anthropic严格遵守负责任披露规范,但恶意行为者可能也在暗中使用类似技术,尽管他们使用的模型可能不如Mythos先进。
Anthropic CEO Dario Amodei在最近一次活动中表达了乐观态度,他认为新工具最终将有利于防御方。“如果我们处理得当,我们可能会比之前处于更有利的位置,因为我们修复了所有这些漏洞。漏洞数量有限,”他说,“所以我认为未来会更美好。”
经历了具体细节后,Grinstead的看法更为谨慎:“这对攻击者和防御者都有用,但工具的出现让防御方略占优势。现实是,目前没人能给出确切答案。”
