声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
AI 公司 Anthropic 宣称其 Mythos Preview 模型在挖掘网络安全漏洞方面能力超群,因此决定将其初期发布范围限定于“一小群关键的行业合作伙伴”。自此,一场激烈辩论展开:这个模型究竟是开启了 AI 辅助黑客攻击的“涡轮增压”新时代,还是 Anthropic 仅仅在为人工智能能力升级道路上一次相对平常的进步而大肆造势?
本周二,Mozilla 为这场争论提供了重要的实证数据。该公司在一篇博客文章中透露,通过提前试用 Mythos Preview 模型,他们在本周发布的 Firefox 150 浏览器中,预先识别出了多达 271 个安全漏洞。这一成果意义非凡,以至于 Firefox 首席技术官 Bobby Holley 兴奋地表示,在这场网络攻击者与防御者永无止境的对抗中,“防御者终于有机会,并且是决定性地获胜了。”
“我们已经度过最困难的时期”
对于 Mythos 仅通过分析 Firefox 最新版本(尚未发布)的源代码就发现的这数百个漏洞的具体严重程度,Holley 并未详细说明。但他提供了一个对比数据:上个月,Anthropic 的 Opus 4.6 模型在分析 Firefox 148 时,仅找到了 22 个对安全敏感的缺陷。
Holley 坦言,这些由 Mythos 发现的漏洞,理论上也可以通过自动化的“模糊测试(Fuzzing)”技术,或者由“顶尖安全研究员”人工审阅浏览器复杂的源代码来找到。然而他强调,使用 Mythos 能大幅提升效率,在许多情况下,不再需要“耗费数月高昂的人力成本,只为寻找一个漏洞”。
通过如此高效的漏洞识别,Holley 认为,像 Mythos 这样的 AI 工具正在改变网络安全攻防的平衡,使其向防御者一方倾斜。这是因为,当发现漏洞对攻防双方都变得成本更低时,防御者更易从中获益。他写道:“就在几个月前,计算机对此还完全无能为力,如今它们却已驾轻就熟。我们拥有多年拆解世界顶级安全研究员工作的经验,而 Mythos Preview 在这方面毫不逊色。”
在接受《连线》杂志采访时,Holley 进一步指出,从此以后,这种AI 辅助的漏洞分析将成为每款软件都必须面对的“必修课”,因为每款软件都潜藏着大量此前难以发现、如今却能被 AI 挖掘出的漏洞。尽管未来可能出现比 Mythos 更先进的模型,从而找到当前模型遗漏的问题,但 Holley 自信地表示:“至少在 Firefox 这边,我们凭借先发优势,可以说已经渡过了最棘手的阶段。”
对于构成现代互联网基石的众多开源项目而言,接受这种AI 辅助防御的“战火洗礼”显得尤为重要。原因有二:其一,它们公开的代码库更方便 AI 系统进行漏洞挖掘;其二,许多此类项目的安全维护严重依赖志愿者,资源往往极度匮乏。
上周,Mozilla 首席技术官 Raffi Krikorian 在《纽约时报》的专栏文章中阐述了他的观点。他认为,人类在找漏洞和写复杂软件两方面都面临的巨大困难,在网络威胁研究中形成了一种微妙的平衡,而 Mythos 的到来可能彻底打破这种平衡。他写道:“那位耗费二十年光阴,维护着被数十亿人使用的产品中那份[开源]代码的程序员呢?他还没能用上 Mythos。但他理应拥有这个工具。”
原文:https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/
这类 AI 辅助漏洞挖掘的技术,正在安全社区引发热议。在云栈社区的安全/逆向板块,你可以找到更多关于模糊测试、漏洞发现与 AI 安全的前沿讨论,欢迎前往交流。 | 
发表于 3 小时前
|
查看: 7|
回复: 0
