四月份Anthropic发布了它的新模型Mythos,当时就警告所有搞软件开发的人说,这玩意儿找安全漏洞的能力太强了,发现了几千个高危bug,不修完都不敢公开。
现在,Mozilla Firefox的安全研究人员详细讲了讲他们实际用下来是啥情况,以及Mythos这能力对软件安全到底意味着啥。
Mozilla周四发的帖子说,Mythos挖出了一大堆高危bug,有些在代码里躺了十几年都没被发现。
这比半年前的AI安全工具强太多了。以前的AI找bug工具毛病一大堆,老是给安全团队塞一堆低质量报告和误报。但Mozilla的研究人员说,新一代工具,尤其是那些能评估自己工作、过滤掉垃圾结果的智能体系统,算是转过弯来了。
研究人员写道:“很难形容这几个月变化有多大。首先,模型本身能力强了一大截。其次,我们利用这些模型的技术也改进了很多。”
结果很惊人:2026年4月,Firefox修复了423个bug,而一年前的同期只修了31个。他们还公布了其中12个bug的细节,从两个奇怪的沙箱漏洞,到一个存在了15年的HTML元素解析错误都有。
Mozilla的一位杰出工程师Brian Grinstead说:“这些东西突然就变得非常好用了。我们自己的内部扫描能看出来,外部漏洞报告也能看出来,行业里各种信号都指向这一点。”
这系统能找到Firefox“沙箱”系统的漏洞,尤其让人服气,因为利用这种漏洞的攻击需要非常精巧。要找到沙箱漏洞,模型得先给浏览器写个有问题的补丁,然后用新代码去攻击软件里最安全的部分。发现并演示这个bug是个细致、多步骤的活儿,既需要创意又得特别仔细。
对比一下,Mozilla的漏洞悬赏计划对能找到Firefox沙箱bug的研究人员最高奖励2万美元,这是最高档了。但Grinstead说,Mythos找到的沙箱问题比人类研究员找到的多得多。“人类也能找到,”他说,“但没这个技术找的量多。”
值得注意的是,Firefox团队现在还没用AI去修这些bug,尽管AI写代码工具进步很明显。团队会让AI为每个bug写补丁,但生成的代码通常没法直接用,只是给人类工程师当个参考。
“这篇帖子里说的这些bug,每一个都是一个工程师写补丁,另一个工程师审核,”Grinstead说,“我们还没发现这活儿能自动化。”
AI这些新能力会怎么改变网络安全攻防的整体态势,现在还说不清。Mythos预览版发布一个月,大部分发现的bug可能都还没修好,所以很难全面评估其影响。Anthropic在漏洞披露上很规矩,但坏家伙们很可能也在幕后用类似的技术,就算他们的模型没那么好。
Anthropic的CEO Dario Amodei最近在一个活动上挺乐观,认为新工具最终会对防守方有利。“如果我们处理得当,情况可能比一开始更好,因为我们把这些bug都修了。能找的bug就那么多,”他说,“所以我觉得,挺过这一关,世界会更好。”
但Grinstead处理过这些具体细节,看法更谨慎些:“这工具对攻击方和防守方都有用,但有了这个工具,优势会稍微向防守方倾斜一点。说实话,现在还没人知道确切答案。”