Mozilla 利用 Anthropic 的 Mythos 發現並修復 Firefox 中的 151 個漏洞

在關於新 AI 模型對網路安全影響的激烈辯論中，Mozilla 週二表示，本週發布的 Firefox 150 瀏覽器版本包含了針對 271 個漏洞的防護措施，這些漏洞是透過早期存取 Anthropic 的 Mythos Preview 所識別的。Firefox 團隊表示，為了適應新 AI 工具所揭露的大量漏洞，需要投入資源與紀律，但考慮到這些能力很快就會不可避免地落入攻擊者手中，這項重大的提升對於 Mozilla 使用者的安全是必要的。

Anthropic 和 OpenAI 最近幾週都宣布了新的 AI 模型，兩家公司均表示這些模型具備先進的網路安全能力，可能成為防禦者——以及至關重要的攻擊者——在軟體系統中尋找漏洞和錯誤配置的轉折點。考慮到這一點，這些公司目前僅對新模型進行了有限的私人發布，且雙方都召集了產業工作小組，旨在評估進展並制定策略。然而在實踐中，網路安全專家對於這些新能力的影響程度持有各種不同的觀點。

Mozilla 的經驗顯示，至少在短期內，像 Mythos Preview 這樣的 AI 工具可能會對漏洞獵人產生深遠的影響。

「我們的信念是，這些工具已經戲劇性地改變了現狀，因為現在我們擁有了自動化技術，據我們所知，可以覆蓋所有可能引發漏洞的錯誤空間，」Firefox 首席技術長 Bobby Holley 表示。他指出，多年來 Firefox 和其他組織一直依賴自動化漏洞獵取技術（如軟體模糊測試）以及內部和外部研究人員的人工漏洞獵取來發現並修復缺陷。而攻擊者也同樣掌握著這些工具和方法。

「過去有些類型的錯誤可以透過人工分析找到，但無法透過自動化分析發現。因此，如果你是一個威脅行為者，並且願意花費數百萬美元來尋找漏洞，這始終是可能的——我們試圖將這種代價推得越高越好，」Holley 說。

Holley 現在表示，新興的 AI 能力將創造一種「新兵訓練營」，所有軟體都必須以某種方式經歷這個過程，以發現並修復其程式碼中隱藏的一系列潛在漏洞。像 Anthropic 和 OpenAI 這樣的公司似乎正試圖讓盡可能多的主要參與者在這些能力更廣泛普及之前完成這項徹底檢查。

「每一款軟體都必須經歷這個轉型，因為每一款軟體在表面之下都埋藏著大量現在可以被發現的錯誤，」Firefox 的 Holley 說。「這是一個艱難的過渡時刻，需要協調一致的專注和極大的毅力才能度過，但我認為這是一個有限的時刻，即使模型變得更加先進。也許更先進的模型會在這裡或那裡發現一些東西，但我相信，至少在 Firefox 方面，因為我們在這裡有了一點領先優勢，我們已經度過了最難的階段。」

Holley 表示，Firefox 團隊是透過與 Anthropic 的直接合作獲得 Mythos Preview 的存取權限，而 Mozilla 並非其名為「Project Glasswing」的大型聯盟的正式成員。

Firefox 是開源軟體，這類軟體通常特別容易受到新 AI 漏洞獵取能力的影響，因為許多開源專案在全球範圍內被廣泛使用和依賴，但往往僅由一小群志願者甚至只有一個人維護。對於那些完全不再維護的「孤兒軟體」（abandonware），其影響可能尤為嚴重。

Holley 認為，提高對此問題緊迫性的認識，以及在先進 AI 漏洞獵取時代保護軟體所需的資源和時間現實，對於讓開源社群全員參與至關重要。

「我曾與大型公司的工程主管交談，他們表示將從所有項目中抽調數千名工程師，在接下來的六個月內專門處理這件事，」他說。「因此，這對產業來說將是一個巨大的挑戰，而令人擔憂的是小型專案和開源軟體。這些維護者不僅難以擁有使用這些工具的財力和管道，而且也很難實際利用它們採取行動。」

在《紐約時報》上週的一篇評論文章中，Mozilla 技術長 Raffi Krikorian 主張，即使有像 Anthropic 這樣公司的表態，這些新 AI 網路安全能力的到來仍將延續軟體界數十年來的動態。

「底層經濟學並未改變，」Krikorian 寫道。「世界上最有價值的軟體基礎設施繼續由免費工作的人維護，而那些在其之上建立財富的公司卻從未需要為其維護付費。現在一種強大的新能力出現了——正如我們在科技領域反覆看到的那樣，存在著一種風險：擁有資源的組織將率先獲得它並學會保護自己，而其他人則處於易受攻擊的境地。」

就 Firefox 而言，Holley 表示他的團隊在整個開源生態系統中都擁有合作關係，並正與盡可能多的維護者進行正式和非正式的合作，以分享知識和工具。

「歸根結底，開源的問題是人的問題，」Holley 說。「技術所能擴展的程度有限——這需要整個產業和每個人共同努力。」