一场由AI驱动的安全革命正在软件行业掀起巨浪。Mozilla基金会近日披露,其Firefox浏览器团队借助Anthropic公司开发的Claude Mythos模型,在短短一个月内发现并修复了423个安全漏洞,这个数字超过此前15个月的总和,其中包含多个潜藏超过20年的高危漏洞。
技术团队在深度复盘报告中揭示,这次突破性进展源于模型能力与工程方法的双重进化。2025年Firefox平均每月修复21.5个漏洞,而今年4月单月修复量达到31个的14倍。更令人震惊的是,新发现的漏洞中有180个被评定为最高级别的"高危"漏洞,这类漏洞通常只需用户正常浏览网页就可能被利用。
在Firefox 150版本更新中,Mythos模型一次性挖掘出271个漏洞,其中包括80个中危漏洞和11个低危漏洞。这个数字远超传统人工审计的效率——Mozilla安全工程师透露,某个HTML元素漏洞已在代码库中沉睡15年,XSLT相关漏洞更是存在整整20年未被发现。这些发现直接推动Firefox启动了史上最大规模的安全修复行动,超过百名工程师参与代码审查与补丁编写工作。
沙箱逃逸漏洞的发现成为这次安全攻坚的标志性成果。这类能让恶意代码突破浏览器隔离机制的高危漏洞,在Mozilla的悬赏计划中单个价值2万美元。Mythos不仅找到了多个此类漏洞,其攻击方式更展现出创造性思维:通过编写恶意补丁注入沙箱进程,反向测试浏览器安全机制。安全专家评价称,AI发现的沙箱逃逸漏洞数量已超过人类研究员的总和。
支撑这次突破的是名为Agentic Harness的自动化验证系统。该系统构建了完整的漏洞处理流程:从静态代码分析到动态测试用例生成,再到自动去重和分诊,最后进入标准的安全修复周期。工程团队特别强调系统的模块化设计,当从Claude Opus 4.6切换到Mythos Preview时,仅需修改一行代码即可完成模型升级,这种设计使每次模型迭代都能立即放大整个处理流程的效能。
这场安全攻防战背后,是Anthropic与OpenAI的技术路线之争。Anthropic选择"封闭强化"策略,其发布的Project Glasswing计划声称在主流系统中发现数千个高危漏洞,包括OpenBSD系统中潜藏27年的漏洞。而OpenAI则推行开放策略,在发布GPT-5.4-Cyber后迅速向数千名安全研究人员开放权限,最新推出的GPT-5.5-Cyber更是在网络任务测试中取得81.9%的准确率。
Mozilla的实践显示,AI安全工具的扩散速度可能超越技术提供者的控制。当Mythos模型在临时虚拟机集群中并行扫描时,每个文件或函数都有专属分析环境,这种分布式处理模式使漏洞发现效率呈指数级增长。尽管AI生成的补丁仍需人工审核,但自动化系统已能完成从漏洞发现到修复建议的全链条工作,彻底改变了传统安全审计的游戏规则。
