Anthropic的Mythos如何重塑Firefox的网络安全方法
Source: TechCrunch
请提供您希望翻译的正文内容,我将为您翻译成简体中文。
Anthropic 的 Mythos 模型
当 Anthropic 在四月推出其全新的 Mythos 模型时,也向所有软件开发者发出了严厉警告。该模型在检测软件漏洞方面的能力如此强大,实验室声称,它已经发现了数千个高危漏洞,这些漏洞必须在模型公开之前修复。
Mozilla 的 Firefox 安全团队提供了对该过程在实际中的更深入观察,并阐明了 Mythos 的能力对整体软件安全意味着什么。
Mozilla的发现
在周四发布的一篇文章中,Mozilla 表示 Mythos 发掘了大量高危漏洞,其中一些在代码中潜伏了十多年。
Read the full post。
这比 AI 安全工具六个月前的能力有了显著提升。直到现在,AI 漏洞发现工具常常向安全团队淹没低质量报告和误报,正如 TechCrunch 所指出的那样。Mozilla 的研究人员表示,最新一代工具已经出现转折,特别是现在代理系统能够评估自己的工作并过滤掉糟糕的结果。
“我们很难夸大这几个月内这种动态对我们的改变程度,”研究人员写道。“首先,模型变得更加强大。其次,我们大幅改进了利用这些模型的技术。”
图片来源:Firefox
结果
- 2026年4月: Firefox 推出了 423 个漏洞修复。
- 2025年4月: 仅推出 31 个漏洞修复。
- 已公布 12 个漏洞 的细节,范围从异常的沙箱漏洞到一个已有 15 年历史的 HTML 解析错误。
“这些东西实际上突然变得非常好,”Mozilla 的杰出工程师 Brian Grinstead 对 TechCrunch 说。“我们在自己的内部扫描中看到这种情况,在外部漏洞报告中也看到,在整个行业的各种信号中也都能看到。”
沙箱漏洞
鉴于针对 Firefox 沙箱的攻击的复杂性,该系统揭示沙箱漏洞的能力尤为令人印象深刻。要发现沙箱问题,模型必须:
- 为浏览器编写一个被破坏的补丁。
- 使用已实现的新代码攻击软件中最安全的部分。
这个多步骤的过程需要创造力和细致的关注。
Mozilla 的漏洞赏金计划为发现沙箱漏洞的研究人员提供最高 $20,000 的奖励——这是最高的奖励。尽管赏金丰厚,Grinstead 表示 Mythos 发现的沙箱问题比人类研究人员发现的还要多。
“我们确实收到了这些,”他对 TechCrunch 说,“但数量远不及我们通过此技术能够发现的量。”
AI‑Generated Patches
While the Firefox team uses AI to suggest patches, the generated code usually cannot be deployed directly and serves only as a model for a human engineer.
“For the bugs we’re talking about in this post, every single one is one engineer writing a patch and one engineer reviewing it,” Grinstead explains. “We have not found it to be automatable.”
未来展望
Mythos 预览一个月后,大多数已发现的漏洞可能仍未修补,这使得评估其全部影响变得困难。Anthropic 遵循负责任的披露规范,但人们担心不法分子可能会采用类似的技术。
在最近一次活动中,Anthropic CEO Dario Amodei 表示乐观:
“如果我们处理得当,我们可能会比起点更有优势,因为我们已经修复了所有这些漏洞。可供发现的漏洞数量是有限的。所以我认为在这件事的另一端会有一个更好的世界。”
Grinstead 给出了更为审慎的观点:
“这对攻击者和防御者都有用,但工具的可用性会稍微把优势倾向于防御方。实际上,没人能给出确切答案。”