Mozilla 借助 AI 发现 Firefox 271 个安全漏洞,超六成被评为“高危”
近日,Mozilla 工程师透露,他们借助 Anthropic 的先进 AI 模型 Claude Mythos,成功从 Firefox 浏览器 150 版本中排查并修复了 271 个安全漏洞。这一成果不仅刷新了 AI 辅助代码审计的实战纪录,更令人惊讶的是,其中 180 个漏洞被评估为“高危”,意味着用户在正常浏览网页时便可能遭受攻击。Mozilla 特意公开了 12 份完整的 Bugzilla 报告,以回应外界对“AI 找 Bug 只是炒作”的质疑。
AI“幻觉”如何被驯服?智能体套件 + 双重验证成关键
AI 在代码分析中最常被诟病的问题就是“幻觉”——模型看似有理有据地生成报告,实则漏洞根本不存在,导致人工审核成本飙升。Mozilla 的解决方案是开发了一款专门的 Agent Harness(智能体套件)。这套工具可以向模型下达“在这个文件中找 Bug”等具体指令,并提供读写文件和评估测试用例的工具,循环执行直到任务完成。
在实际操作中,套件将代码指向特定源文件后,Mythos 模型会自主生成测试用例(例如特定的 HTML 代码),然后利用现有的模糊测试工具进行测试。一旦触发内存崩溃,就能确认漏洞存在。但这还不够—— Mozilla 又引入了第二个大型模型,对第一模型的输出进行打分,只有高分报告才会被提交给开发者。这一双重验证机制大幅降低了误报率。
行业启示:AI 辅助安全将进入“可信交付”时代
Mozilla 杰出工程师 Brian Grinstead 表示,经过双重验证后,最终生成的漏洞报告“几乎没有误报”,这为工程师提供了明确的确认信号:问题确实存在,修复工作已经完成,且测试用例入库后不会再复现。
长期以来,安全厂商和浏览器开发团队在引入 AI 进行代码审计时,最头疼的便是假阳性(误报)问题。Mozilla 通过“智能体套件+双重验证”的流程,实际上为行业提供了一套可复用的范式:AI 不再是提建议的助手,而是独立发现并验证漏洞的工程实体。这次从 Firefox 150 版本中挖出的 271 个漏洞,证明了 AI 在安全工程中的角色已经从辅助走向核心。对 Mozilla 而言,充分利用 Claude Mythos 等新一代模型的能力,不仅是对浏览器安全基线的重大提升,更是在与 Chrome、Edge 等对手的竞争中,亮出了一张技术含金量很高的底牌。
火狐的这次成功,可能会促使更多浏览器和安全厂商加速引入类似的 AI 安全流水线。未来,谁能让 AI 发现漏洞的“可信度”最高,谁就掌握了浏览器安全的主动权。
