Mozilla 声称 Mythos AI 发现的 271 个漏洞“几乎没有误报”
Mozilla 近日披露了其利用 Anthropic 的 Mythos AI 模型在两个月内发现 271 个 Firefox 安全漏洞 的细节,并强调这些发现“几乎没有误报”。这一成果标志着 AI 辅助漏洞检测从概念验证迈向实际应用的重要一步。
从怀疑到实践
Mozilla 的 CTO 上个月曾宣称“零日漏洞的日子屈指可数”,当时许多人对此持怀疑态度,认为这不过是常见的夸大宣传。但 Mozilla 工程师在最新的博文中详细解释了实现这一突破的关键因素:AI 模型本身的进步 和 Mozilla 自研的定制化“工具框架”。
工具框架:AI 检测的核心
过去,Mozilla 尝试使用 AI 进行漏洞检测时,常遇到“不想要的垃圾输出”——模型看似生成了合理的报告,但大量细节是幻觉,需要人工重新核实。而 Mythos 的差异化优势在于一个专为 Firefox 源代码分析设计的 agent harness(代理工具框架)。
Mozilla 杰出工程师 Brian Grinstead 解释道,这个工具框架是“驱动 LLM 完成目标的代码”:它给模型明确指令(如“在此文件中查找漏洞”),提供工具(如读写文件、执行测试用例),并循环运行直至任务完成。更重要的是,该框架赋予了 Mythos 与人类开发者相同的工具和流程,包括特殊的 Firefox 构建环境。
结果与意义
在为期两个月的测试中,Mythos 共发现 271 个安全漏洞,且误报率极低。这意味着安全团队可以将精力集中于真正需要修复的问题,而非花费大量时间验证 AI 报告的真伪。Mozilla 表示,他们已经“完全接受”了 AI 辅助漏洞发现,并将其整合到日常开发流程中。
这一案例也为行业提供了重要启示:AI 在安全领域的落地不仅依赖模型能力,更需要深度定制化和与现有工具链的融合。Mozilla 的开源工具框架有望被其他项目借鉴,推动 AI 漏洞检测的普及。
未来展望
随着 AI 模型不断进化,以及类似 Mozilla 的定制化方案出现,AI 在网络安全中的角色将从辅助工具逐渐转向核心防线。Mozilla 的实践表明,只要解决幻觉和误报问题,AI 完全有可能成为“防御者的决定性武器”。