Mozilla 的安全研究人員表示,Anthropic 的 Mythos 模型已經挖掘出 Firefox 中大量的嚴重漏洞,其中包含一些在程式碼中潛伏超過十年的問題。
當 Anthropic 在四月發表其全新的 Mythos 模型時,也向所有軟體開發者發出了嚴正警告。該實驗室聲稱,該模型在偵測軟體漏洞方面極其強大,已發現了數千個高嚴重性漏洞,這些漏洞必須在模型公開前予以修復。
現在,Mozilla Firefox 瀏覽器的安全研究人員正進一步揭示該過程在實務中的樣貌,以及 Mythos 的能力對整體軟體安全意味著什麼。
在週四發布的一篇貼文中,Mozilla 表示 Mythos 挖掘出了大量高嚴重性漏洞,其中一些甚至已在程式碼中潛伏了超過十年。
這與半年前 AI 安全工具的能力相比,是顯著的進步。直到目前為止,AI 漏洞尋找工具仍存在嚴重缺點,經常讓安全團隊淹沒在低質量的報告和誤報中。但 Mozilla 的研究人員表示,最新一代的工具已經迎來轉機,特別是現在的代理系統(agentic systems)能夠評估自身的工作並過濾掉錯誤結果。
研究人員寫道:「很難誇大這種動態在短短幾個月內為我們帶來了多大的變化。首先,模型的能力大幅提升;其次,我們利用這些模型的方法也得到了顯著改進。」
結果令人震驚:2026 年 4 月,Firefox 發布了 423 個漏洞修復,而整整一年前僅為 31 個。研究人員還公布了其中 12 個漏洞的細節,範圍從一對不尋常的沙盒(sandbox)漏洞,到一個存在於瀏覽器解析 HTML 元素方式中長達 15 年的錯誤。
Mozilla 傑出工程師 Brian Grinstead 告訴 TechCrunch:「這些工具實際上突然變得非常好。我們在內部的掃描中看到了這一點,在外部漏洞報告中看到了這一點,在整個行業的各種信號中也看到了這一點。」
考慮到利用沙盒漏洞所需的攻擊手段極其複雜,該系統能協助揭露 Firefox「沙盒」系統中的漏洞,這一點尤其令人印象深刻。為了尋找沙盒漏洞,模型必須為瀏覽器編寫一個受損的補丁,然後在實施新程式碼的情況下攻擊軟體中最安全的部分。尋找並演示漏洞是一個微妙的多步驟過程,既需要創造力,也需要嚴密的專注力。
以此為背景,Mozilla 的漏洞賞金計畫為發現 Firefox 沙盒漏洞的研究人員提供高達 20,000 美元的獎金——這是目前最高額度的獎勵。然而,儘管有高額賞金,Grinstead 表示 Mythos 發現的沙盒問題比人類研究人員發現的還要多。他告訴 TechCrunch:「我們確實會收到這類報告,但數量遠不及我們透過這種技術所能發現的規模。」
值得注意的是,儘管 AI 程式碼工具已有顯著進展,Firefox 團隊目前仍未使用 AI 來修復漏洞。團隊確實會要求 AI 為每個漏洞編寫補丁,但生成的程式碼通常無法直接部署,而是作為人類工程師的參考模型。
Grinstead 說:「對於我們在這篇貼文中提到的漏洞,每一個都是由一名工程師編寫補丁,另一名工程師進行審核。我們發現這還無法自動化。」
目前尚不清楚 AI 新興的能力將如何改變網路安全領域更廣泛的力量平衡。自 Mythos 預覽以來的一個月內,大多數發現的漏洞可能尚未修復,這使得難以捕捉其影響的完整範疇。Anthropic 一直嚴格遵守負責任的披露規範,但即便惡意行為者使用的模型可能沒那麼出色,他們很可能也在幕後使用類似的技術。
Anthropic 執行長 Dario Amodei 在最近的一次活動中樂觀地認為,新工具最終將有利於防禦者。Amodei 表示:「如果我們處理得當,我們的處境可能會比開始時更好,因為我們修復了所有這些漏洞。能被發現的漏洞數量是有限的。所以我認為,在這一過程的另一端,會有一個更美好的世界。」
在處理過繁瑣的細節後,Grinstead 的看法則更為謹慎:「它對攻擊者和防禦者都有用,但擁有這種工具會將優勢稍微向防禦方傾斜。現實情況是,目前還沒有人知道最終答案。」
相關文章
其他收藏 · 0
Mozilla 的安全研究人員表示,Anthropic 的 Mythos 模型已經挖掘出 Firefox 中大量的嚴重漏洞,其中包含一些在程式碼中潛伏超過十年的問題。
當 Anthropic 在四月發表其全新的 Mythos 模型時,也向所有軟體開發者發出了嚴正警告。該實驗室聲稱,該模型在偵測軟體漏洞方面極其強大,已發現了數千個高嚴重性漏洞,這些漏洞必須在模型公開前予以修復。
現在,Mozilla Firefox 瀏覽器的安全研究人員正進一步揭示該過程在實務中的樣貌,以及 Mythos 的能力對整體軟體安全意味著什麼。
在週四發布的一篇貼文中,Mozilla 表示 Mythos 挖掘出了大量高嚴重性漏洞,其中一些甚至已在程式碼中潛伏了超過十年。
這與半年前 AI 安全工具的能力相比,是顯著的進步。直到目前為止,AI 漏洞尋找工具仍存在嚴重缺點,經常讓安全團隊淹沒在低質量的報告和誤報中。但 Mozilla 的研究人員表示,最新一代的工具已經迎來轉機,特別是現在的代理系統(agentic systems)能夠評估自身的工作並過濾掉錯誤結果。
研究人員寫道:「很難誇大這種動態在短短幾個月內為我們帶來了多大的變化。首先,模型的能力大幅提升;其次,我們利用這些模型的方法也得到了顯著改進。」
結果令人震驚:2026 年 4 月,Firefox 發布了 423 個漏洞修復,而整整一年前僅為 31 個。研究人員還公布了其中 12 個漏洞的細節,範圍從一對不尋常的沙盒(sandbox)漏洞,到一個存在於瀏覽器解析 HTML 元素方式中長達 15 年的錯誤。
Mozilla 傑出工程師 Brian Grinstead 告訴 TechCrunch:「這些工具實際上突然變得非常好。我們在內部的掃描中看到了這一點,在外部漏洞報告中看到了這一點,在整個行業的各種信號中也看到了這一點。」
考慮到利用沙盒漏洞所需的攻擊手段極其複雜,該系統能協助揭露 Firefox「沙盒」系統中的漏洞,這一點尤其令人印象深刻。為了尋找沙盒漏洞,模型必須為瀏覽器編寫一個受損的補丁,然後在實施新程式碼的情況下攻擊軟體中最安全的部分。尋找並演示漏洞是一個微妙的多步驟過程,既需要創造力,也需要嚴密的專注力。
以此為背景,Mozilla 的漏洞賞金計畫為發現 Firefox 沙盒漏洞的研究人員提供高達 20,000 美元的獎金——這是目前最高額度的獎勵。然而,儘管有高額賞金,Grinstead 表示 Mythos 發現的沙盒問題比人類研究人員發現的還要多。他告訴 TechCrunch:「我們確實會收到這類報告,但數量遠不及我們透過這種技術所能發現的規模。」
值得注意的是,儘管 AI 程式碼工具已有顯著進展,Firefox 團隊目前仍未使用 AI 來修復漏洞。團隊確實會要求 AI 為每個漏洞編寫補丁,但生成的程式碼通常無法直接部署,而是作為人類工程師的參考模型。
Grinstead 說:「對於我們在這篇貼文中提到的漏洞,每一個都是由一名工程師編寫補丁,另一名工程師進行審核。我們發現這還無法自動化。」
目前尚不清楚 AI 新興的能力將如何改變網路安全領域更廣泛的力量平衡。自 Mythos 預覽以來的一個月內,大多數發現的漏洞可能尚未修復,這使得難以捕捉其影響的完整範疇。Anthropic 一直嚴格遵守負責任的披露規範,但即便惡意行為者使用的模型可能沒那麼出色,他們很可能也在幕後使用類似的技術。
Anthropic 執行長 Dario Amodei 在最近的一次活動中樂觀地認為,新工具最終將有利於防禦者。Amodei 表示:「如果我們處理得當,我們的處境可能會比開始時更好,因為我們修復了所有這些漏洞。能被發現的漏洞數量是有限的。所以我認為,在這一過程的另一端,會有一個更美好的世界。」
在處理過繁瑣的細節後,Grinstead 的看法則更為謹慎:「它對攻擊者和防禦者都有用,但擁有這種工具會將優勢稍微向防禦方傾斜。現實情況是,目前還沒有人知道最終答案。」
相關文章
其他收藏 · 0
