Anthropic 的 Mythos 重新定义了 Firefox 的网络安全策略

当Anthropic公司在4月推出其Mythos模型时，该公司也向软件开发者发出了严厉警告。该实验室称，该模型在识别软件漏洞方面表现得如此出色，以至于在模型公开发布之前，它就发现了数千个需要修复的高危漏洞。

如今，致力于Mozilla Firefox浏览器安全研究的专家们，详细剖析了这一流程在实际中的运作情况，并探讨了Mythos的能力对软件安全领域更广泛的意义。

Mozilla在周四发布的一篇博文中指出，Mythos已揭示了大量高危漏洞，其中包括一些在代码中潜伏了十多年的漏洞。

这标志着与仅六个月前相比，AI安全工具取得了重大飞跃。直到最近，AI驱动的漏洞检测工具还存在严重局限，往往因低质量报告和误报而让安全团队不堪重负。然而，Mozilla的研究人员表示，最新一代工具已迎来转折点，尤其是现在自主系统能够评估自身工作并过滤掉低质量结果。

“短短数月间，这种动态变化对我们产生的影响之大，无论怎么强调都不为过，”研究人员写道。“首先，模型的能力大幅提升。其次，我们在利用这些模型的技术方面取得了显著进步。”

图片来源：Firefox

成果令人瞩目：2026年4月，Firefox发布了423项漏洞修复，而一年前的同月仅有31项。研究人员还披露了其中12个漏洞的详情，涵盖从两个罕见的沙箱漏洞，到浏览器解析HTML元素时存在长达15年的错误。

“这些系统实际上突然间变得非常出色，”Mozilla杰出工程师布莱恩·格林斯特德（Brian Grinstead）告诉TechCrunch。“我们在内部扫描中看到了这一点，在外部漏洞报告中看到了这一点，在整个行业的各种信号中也看到了这一点。”

鉴于针对Firefox“沙箱”系统的攻击所需的技术复杂度，该系统能协助发现此类漏洞尤为值得关注。要发现沙箱漏洞，该模型必须为浏览器制作一个受损补丁，然后在安装新代码后攻击软件中最安全的部分。发现并演示该漏洞是一个精细且多步骤的过程，既需要创造力，也需要精准度。

为了说明这一点，Mozilla的漏洞赏金计划为发现Firefox沙箱漏洞的研究人员提供高达2万美元的奖励——这是目前最高的赏金。尽管赏金如此丰厚，但Grinstead表示，Mythos发现的沙箱问题比人类研究人员以往发现的还要多。“我们确实能发现这些漏洞，”他告诉TechCrunch，“但数量远不及我们使用这项技术所能发现的。”

值得注意的是，尽管人工智能编程工具已取得显著进展，Firefox团队目前仍未使用AI来修复漏洞。团队确实会让AI为每个漏洞编写补丁，但生成的代码通常无法直接部署，而是作为人类工程师的参考依据。

“对于本文中讨论的漏洞，每一个都需要一名工程师编写补丁，再由另一名工程师进行审核，”格林斯特德表示，“我们尚未发现这一过程可以实现自动化。”

人工智能新兴能力将如何重塑更广泛的网络安全格局，目前尚不明确。在Mythos系统预览发布一个月后，它发现的大多数漏洞可能尚未得到修复，因此难以评估其全部影响。Anthropic公司一直严格遵循负责任披露规范，但即便恶意行为者使用的模型技术水平较低，他们很可能也在幕后采用类似的技术手段。

Anthropic首席执行官达里奥·阿莫迪（Dario Amodei）在近期的一次活动中表示，他对这些新工具最终将有利于防御方持乐观态度。“如果我们处理得当，我们的处境可能会比最初更好，因为我们修复了所有这些漏洞。可发现的漏洞数量是有限的，”阿莫迪说道。“所以我认为，在这之后将是一个更美好的世界。”

在考量了实际情况后，格林斯特德给出了更为审慎的看法：“这对攻击者和防御者都有用，但工具的出现确实让防御方略占上风。现实情况是，目前尚无人能给出确切答案。”