【编者按】近年来，AI技术在网络安全领域的应用突飞猛进。Anthropic发布的Mythos模型，在短短数周内便挖出数千个高危软件漏洞，甚至包括沉睡了15年的“沉睡代码”——这不仅是技术突破，更可能改写攻防对抗的底层逻辑。Mozilla的实战报告揭示，新型AI工具已能自主评估漏洞质量，过滤噪音，使Firefox在4月单月修补量从去年同期的31个飙升至423个。然而，背后的真相令人忧心：这些漏洞是否已经被黑客暗中利用？AI究竟是护盾还是利刃？本文将从Mozilla的实战视角，带你看清AI时代的攻防博弈。

今年4月，当Anthropic推出全新的Mythos模型时，它也给所有软件开发人员敲响了警钟。这家实验室声称，该模型识别软件漏洞的能力极其强大，发现数千个高危漏洞，必须在公开前修复。

如今，Mozilla Firefox浏览器的安全研究人员正在更详细地展示这一过程在实践中的表现，以及Mythos的能力对整个软件安全的意义。

在周四发布的一篇文章中，Mozilla表示，Mythos已经发现大量高危漏洞，其中一些漏洞在代码中沉睡了十多年之久。

相比半年前，这已是大踏步前进。过去，AI漏洞检测工具存在严重缺陷，常常向安全团队发来大量低质量报告和误报。但Mozilla的研究人员表示，新一代工具已经迎来转折点，尤其是自主系统能够评估自身工作并过滤掉不良结果。

“很难夸大短短几个月内这种变化对我们的影响有多大，”研究人员写道，“首先，模型的能力大幅提升。其次，我们大幅改进了利用这些模型的技术。”

结果令人震惊：2026年4月，Firefox修复了423个漏洞，而去年同期仅为31个。研究人员还公布了其中12个漏洞的细节，从一对罕见的沙盒漏洞，到浏览器解析HTML元素时存在15年的错误。

“这些东西真的突然变得非常强大，”Mozilla杰出工程师Brian Grinstead告诉TechCrunch，“我们在内部扫描中看到了这一点，在外部漏洞报告中看到了，在整个行业的各种信号中都看到了这一点。”

该系统帮助揭示Firefox“沙盒”系统中的漏洞尤其令人印象深刻，因为利用该沙盒的攻击需要极高的复杂性。要找到沙盒漏洞，模型必须为浏览器编写一个受损的补丁，然后用新代码攻击软件最安全的部分。发现并证明漏洞是一个复杂、多步骤的过程，需要创造力和高度关注。

为了说明问题的严重性，Mozilla的漏洞赏金计划为能发现Firefox沙盒漏洞的研究人员提供高达2万美元的奖励——这是最高额度。然而，尽管悬赏丰厚，Grinstead表示，Mythos发现的沙盒问题比人类研究人员发现的总和还要多。“我们确实会收到报告，”他告诉TechCrunch，“但数量远不及用这种技术找到的。”

值得注意的是，尽管人工智能编码工具已有显著的进步，Firefox团队仍未使用AI来修复漏洞。团队曾让AI为每个漏洞编写补丁，但生成的代码通常无法直接部署，只能作为人类工程师的参考模型。

“对于本文讨论的漏洞，每个漏洞都是一个工程师编写补丁，一个工程师审查，”Grinstead说，“我们发现这件事无法自动化。”

目前尚不清楚AI新兴能力将如何改变网络安全的总体攻防格局。自Mythos预览以来一个月，发现的大部分漏洞可能仍未修复，这使得全面评估它们的影响变得困难。Anthropic一直严格遵守负责任的披露规范，但很可能恶意行为者正在幕后使用类似的技术，即使他们使用的模型没那么优秀。

在最近的一次活动中，Anthropic CEO Dario Amodei乐观地表示，新工具有利于防守方。“如果我们处理得当，我们可能会处于比开始时更好的位置，因为我们修复了所有这些漏洞。要找的漏洞就那么多，”Amodei表示，“所以我相信，这之后会有一个更美好的世界。”

在经历了粗糙的细节之后，Grinstead的看法更加审慎：“它对攻击者和防守者都有用，但拥有该工具会略微将优势转向防守方。实际上，目前还没有人知道答案。”