Mozilla：Anthropic 的 Mythos 在 Firefox 150 中发现 271 个安全漏洞

Mozilla CTO 表示，这款新的 AI 模型“完全可以比肩”世界上最顶尖的安全研究人员。

本月早些时候，Anthropic 表示，其 Mythos Preview 模型在发现网络安全漏洞方面表现出色，因此公司将其初始发布范围限制在“少数关键行业合作伙伴”之内。此后，围绕这款模型的争论不断：它究竟预示着 AI 辅助黑客攻击将被大幅强化的时代即将到来，还是说 Anthropic 只是在为 AI 能力进阶阶梯上一次相对正常的提升制造声势。

Mozilla 在周二为这场争论补充了一些重要数据。该公司在一篇博客文章中写道，提前获得 Mythos Preview 的使用权限，帮助其在本周发布的 Firefox 150 中预先识别出 271 个安全漏洞。这一结果之显著，以至于 Firefox CTO Bobby Holley 感叹，在网络攻击者与网络防御者这场永无止境的较量中，“防御者终于有机会决定性地获胜了”。

“我们已经越过拐点”

Holley 没有详细说明，据称 Mythos 仅通过分析 Firefox 最新版本尚未发布的源代码所检测出的数百个漏洞，其严重程度分别如何。不过他做了一个对比：Anthropic 的 Opus 4.6 模型上个月在分析 Firefox 148 时，只发现了 22 个与安全相关的缺陷。

Holley 写道，Mythos 识别出的这些漏洞，也可能通过自动化“模糊测试”技术发现，或者由“顶尖安全研究员”对浏览器复杂源代码进行推理后找出。但他补充说，在很多情况下，使用 Mythos 不再需要“投入数月昂贵的人力，只为找到一个漏洞”。

Holley 写道，正因为发现漏洞的效率如此之高，像 Mythos 这样的 AI 工具正在让网络安全的天平向防御者倾斜，因为当发现漏洞这件事对攻防双方都变得更便宜时，防御者会从中受益。“几个月前，计算机还完全做不到这件事；而现在，它们已经很擅长了。”Holley 写道，“我们在剖析世界顶尖安全研究人员的工作方面有很多年经验，而 Mythos Preview 完全具备同等能力。”

在接受 Wired 采访时，Holley 表示，从现在开始，这种 AI 辅助的漏洞分析将成为“每一款软件都不得不面对的事情，因为每一款软件表面之下都埋着大量如今已可被发现的漏洞”。他还表示，未来比 Mythos 更先进的模型当然有可能找到当前模型遗漏的漏洞，但他相信，“至少在 Firefox 这边，由于我们已经稍微抢先了一点，我们已经越过了那个拐点”。

对支撑现代互联网很大一部分基础设施的开源项目来说，接受这种 AI 辅助防御的严格检验，可能尤其重要。一方面，它们公开的代码库更容易被 AI 系统探索并寻找漏洞；另一方面，许多这类项目在安全维护上依赖严重不足的志愿者投入。

在上周发表于《纽约时报》的一篇文章中，Mozilla CTO Raffi Krikorian 认为，人类在发现漏洞和编写复杂软件这两件事上的困难，形成了网络威胁研究中的某种平衡，而 Mythos 可能会将这种平衡彻底打破。Krikorian 写道：“那个花了 20 年生命维护运行在数十亿人使用产品内部的[开源]代码的程序员？他还没有机会用上 Mythos。他应该用上。”

25 年多来，Ars Technica 一直在努力分辨信息中的真实价值与噪音。凭借我们独特的技术理解力，以及对技术艺术与科学的广泛兴趣，Ars 在信息海洋中成为值得信赖的来源。毕竟，你不需要知道一切，你只需要知道什么最重要。