Mozilla 利用 Anthropic 的 Mythos 模型,在 Firefox 中找出并修复了 271 个漏洞
在关于新型 AI 模型对网络安全影响的激烈讨论中,Mozilla 本周发布的 Firefox 150 浏览器包含了对 271 个漏洞的防护措施,这些漏洞是通过早期访问 Anthropic 的 Mythos Preview 模型识别出来的。
AI 模型如何改变漏洞挖掘格局
Firefox 首席技术官 Bobby Holley 表示,AI 工具已经“戏剧性地改变了局面”,因为现在有了可以覆盖“整个漏洞诱导错误空间”的自动化技术。多年来,Firefox 和其他组织一直依赖自动漏洞挖掘技术(如软件模糊测试)以及内部和外部研究人员的手动漏洞挖掘来发现和修复缺陷。攻击者也拥有这些相同的工具和方法。
Holley 指出,过去存在一些只能通过人工分析发现、而无法通过自动化分析找到的漏洞类别。这意味着,如果威胁行为者愿意投入数百万美元来寻找一个漏洞,他们总是有可能找到。Mozilla 等防御者的策略是尽可能提高这种成本。
新兴 AI 能力:一把双刃剑
近期,Anthropic 和 OpenAI 都发布了新的 AI 模型,声称其具备先进的网络安全能力,可能代表防御者(以及关键的攻击者)发现软件系统中漏洞和错误配置方式的转折点。
Mozilla 的短期经验表明,像 Mythos Preview 这样的 AI 工具对漏洞猎手可能产生深远影响。然而,这也意味着攻击者很快也将掌握这些能力。Holley 认为,新兴的 AI 能力将迫使所有软件经历一场“新兵训练营”,以某种方式找出并修复代码中潜伏的一系列漏洞。
过渡期的挑战与应对
Firefox 团队承认,适应新 AI 工具揭示的大量漏洞需要投入资源和保持纪律性,但鉴于这些能力将不可避免地很快落入攻击者手中,这项艰巨的工作对于保护 Mozilla 用户的安全是必要的。
为此,Anthropic 和 OpenAI 目前仅对其新模型进行了有限的私下发布,并都召集了行业工作组来评估这些进展并制定战略。
行业观点不一,但行动刻不容缓
尽管网络安全专家对于这些新能力的影响程度看法不一,但 Mozilla 的实践已经证明了其在漏洞发现方面的即时价值。这不仅仅是技术升级,更是对软件开发和安全维护流程的一次压力测试。
核心要点:
- AI 驱动的漏洞挖掘工具(如 Mythos)正大幅提升发现漏洞的效率和广度。
- 这既是防御者的新利器,也即将成为攻击者的新武器。
- 软件开发商必须立即投入资源,利用这些工具主动修复自身代码,以应对即将到来的安全挑战。
- 行业正处于一个关键的过渡期,需要共同评估风险并制定策略。
Mozilla 此次修复 271 个漏洞的行动,为整个软件行业敲响了警钟:在 AI 重塑网络安全攻防的当下,主动利用先进工具进行自我加固,已从“可选”变成了“必选”。