Mozilla 用 AI 挖出 Firefox 271 个漏洞,AI 安全审计终于不再“一本正经地胡说八道”?
Mozilla 的工程师们最近干了一件漂亮的“脏活”:他们借助 Anthropic 的先进 AI 模型 Claude Mythos,一口气在 Firefox 浏览器中发现了 271 个安全漏洞。 这不仅是 AI 捉虫的效率展示,更关键的是——这些报告是真的。Mozilla 通过一套自研的“特工工具包”(Agent Harness),第一次让 AI 生成的安全报告几乎不存在误报,这对于备受“幻觉”困扰的 AI 代码审计领域,无疑是一个具有里程碑意义的转折点。
180 个高危漏洞:AI 如何发现它们?
在这 271 个漏洞中,有 180 个被标记为“高风险”,意味着用户在正常浏览网页时就可能受到影响;此外还有 80 个中等风险和 11 个低风险漏洞。Mozilla 的高级工程师 Brian Grinstead 在博客中详细披露了幕后过程:为了克服 AI 在代码分析中常见的“幻觉”(即生成看似合理但实际不存在的问题),团队开发了一个名为 Agent Harness 的定制化工具。这个工具会向 Claude Mythos 模型下达具体指令,例如“在这个文件中找一个 bug”,同时为模型提供读写文件和评估测试用例的工具。在实际操作中,AI 会针对特定的源代码文件自行生成测试用例(比如一段特定的 HTML 代码),然后利用现有的模糊测试工具进行验证。如果触发了内存崩溃,漏洞的存在就得到了确认。
双重验证:终结“AI 假阳性”的噩梦
过去,AI 分析代码会产生大量只存在于 AI 想象中的报告,极大增加了人工复审的成本。Mozilla 的解决方案极具启发性:他们引入第二个大语言模型来对第一个模型的输出进行评分。 只有得分足够高的报告才会被提交给工程师。经过这种双重验证,最终生成的漏洞报告几乎实现了“零误报”。Brian Grinstead 评价道,工程师们收到的是一份“清晰无疑的确认信号”:问题确实存在,修复工作已经完成,并且这些测试用例一旦加入代码库,将永久防止同类问题再次出现。这不仅解决了 AI 审计的信任问题,也让整个修复流程变得无比高效。
行业影响:AI 安全审计进入“可信赖”时代
Mozilla 这次的成功,意义远不止于修复了 271 个漏洞。它向整个行业证明了:只要构建合适的工具链和验证流程,大型语言模型完全可以成为安全团队的可靠生产力,而不是另一个需要反复“辟谣”的噪音源。 在过去,AI 在代码安全领域更多是扮演“辅助灵感”的角色;而现在,Mozilla 用 Agent Harness 实际上构建了一个“AI 研究员 + AI 质检员”的闭环,让 AI 能够自主完成从发现缺陷到验证修复的全流程。这为 Google、微软等同样在安全审计上投入巨资的巨头提供了一套可复用的方法论,也预示着未来安全测试自动化将迎来一次质的飞跃。
可以预见,随着像 Claude Mythos 这样的模型能力持续进化,以及 Agent Harness 这类工具的普及,AI 驱动的安全审计将逐渐从“值得试试”变成“必须部署”的标准流程。Mozilla 的这次实践,是向这个未来迈出的坚实一步。
