某家公司测试了Claude Mythos Preview。该公司表示,该AI发现了一个存在了20年的漏洞
一句话看懂:Mozilla 获得了 Anthropic 新模型 Claude Mythos Preview 的早期访问权,并用它在 Firefox 浏览器中发现了数百个安全漏洞,其中一个漏洞已存在 20 年未被传统工具发现。这展示了新一代 AI 在代码安全领域的实用潜力,也解释了为何 Anthropic 仅对少数公司开放此模型。
事件核心:发生了什么
2026 年 5 月 7 日,Mozilla 发布博客,详细说明了其使用 Anthropic 尚未公开发布的模型 Claude Mythos Preview 进行安全审计的结果。该模型帮助 Mozilla 在 4 月发布的 Firefox 版本中修复了 423 个安全漏洞,其中 271 个被明确归功于该 AI。相比之下,今年 1 月 Mozilla 仅修复了 25 个漏洞,3 月为 76 个。Mozilla 特别指出,发现了一个存活了 20 年、此前未被任何模糊测试工具检测到的漏洞。之前的 AI 工具往往生成“垃圾”(slop)报告,看似合理但实际错误,而 Claude Mythos Preview 能够导航复杂的浏览器代码库并定位深层问题。
为什么重要
这件事标志着 AI 在网络安全领域的应用进入了一个新阶段。过去,自动化的代码审计工具(如 fuzzers)对于深层或条件复杂的漏洞效果有限,而 AI 生成的错误报告常需人工甄别。Mozilla 的实践表明,经过特定训练的模型已经可以承担大规模、高质量的漏洞发现工作,且产出显著优于传统方法和前几代 AI 模型。这也解释了 Anthropic 为何限制 Mythos 模型的访问——如果落入恶意攻击者手中,如此强大的漏洞发现能力可能被用于制造零日攻击,构成国家安全风险。对于整个行业而言,这加速了“AI 编写代码”与“AI 审查代码”的闭环竞争。
对开发者/安全工程师的影响
对于浏览器开发商、开源项目维护者和企业安全团队,这个消息意味着:1)大规模代码审计的成本和效率将发生根本性改变,之前需要数周的人工审计,现在可能由 AI 在数天内完成。2)开发者需要适应 AI 输出的漏洞报告格式,并建立新的优先级评定流程。3)对于使用公共 AI 模型的团队,Mozilla 的经验表明“看起来正确但实际错误”的 AI 建议仍然存在,但最新模型的可信度已大幅提升。4)权限分配将成为一个关键议题——如果你的竞争对手拿到了强大审计模型而你拿不到,项目安全水平可能拉开差距。
值得关注的后续
第一,Mozilla 计划将 AI 分析直接集成到 Firefox 的开发流水线中,这将影响开源社区的协作模式。第二,Anthropic 是否以及何时会放宽 Mythos 模型的访问权限,将成为 AI 安全治理的一个风向标。第三,谷歌和微软等拥有自研浏览器和 AI 模型的公司是否会公布类似成果,以及它们是否已经在内部使用类似技术进行安全审计,将是行业观察的重点。目前公开信息显示,Mythos 模型的具体能力和局限仍未完全公开。
