Mozilla 基金会近期测试了 Anthropic 公司开发的 AI 模型 Claude Mythos,该模型在网络安全领域引发了广泛讨论。
在授权 Mythos 访问权限前,Mozilla 使用 Opus 4.6 对 Firefox 进行了扫描,这促使 Firefox 148 版本修复了 22 个安全敏感漏洞。而 Mythos 则在 Firefox 150 版本中识别出了 271 个漏洞。
Firefox 首席技术官 Bobby Holley 表示,其他团队正开始体验到 Mozilla 最初发现这些漏洞时的“眩晕感”。
“对于经过加固的目标系统来说,在 2025 年哪怕只发现一个这样的漏洞都会触发红色警报。一次性发现这么多漏洞,让人不禁怀疑我们是否还能跟上节奏。”
Holley 相信,那些能够挺过这个阶段并专注于任务的团队将开始看到进展。“我们的工作尚未完成,但已经迎来转机,能够展望比单纯追赶漏洞更好的未来。防御者终于有机会取得决定性胜利。”他写道。
他补充说,将漏洞利用完全归零是不切实际的目标。“相反,我们的目标是让漏洞利用变得极其昂贵,只有预算近乎无限的攻击者才能负担得起,而消耗这种资产的成本将阻止随意使用。”
在 Mythos 出现之前,识别复杂漏洞主要依赖专家研究人员的手动代码分析,这一过程受限于时间和稀缺的专业人才。“几个月前计算机还完全无法做到这一点,现在它们却表现得异常出色。”
根据 Mozilla 的发现,像 Mythos Preview 这样的模型已被证明与世界顶级安全研究人员能力相当,人类能识别的任何类型或级别的漏洞,该模型同样能够检测到。“令人鼓舞的是,我们也没有发现任何精英人类研究员无法找到的漏洞。”
Holley 总结道:“我们正在进入一个最终能够发现所有漏洞的世界。”
本月早些时候,Anthropic 向公众介绍了 Claude Mythos Preview,称这款大语言模型特别擅长发现操作系统、软件、Web 应用程序和加密库中先前被忽视且难以检测的错误和漏洞。
该公司不计划公开发布该模型,警告称此类系统可能被滥用于识别0Day漏洞,并针对新发现的缺陷和尚未修补的现有问题创建漏洞利用程序。
相反,该公司启动了“Glasswing 项目”,这是一个选择性计划,为大型科技、网络安全和金融机构提供模型的早期访问权限。
很快就有报告称出现了未经授权访问该模型的尝试。据彭博社报道,在 Anthropic 宣布计划向有限数量的公司发布该模型进行测试的同一天,一个私人在线论坛中的少数用户就获得了对 Mythos 的访问权限。
参考来源:
Claude Mythos finds 271 Firefox flaws, Mozilla believes zero-days are numbered
https://www.helpnetsecurity.com/2026/04/22/claude-mythos-mozilla-vulnerabilities-scanning/
云栈社区将持续关注 AI 驱动安全漏洞挖掘的前沿动态。 | 
发表于 3 小时前
|
查看: 3|
回复: 0
