Anthropic的Mythos模型如何改變Firefox的安全防線

今年4月，Anthropic發布Mythos模型時附帶了一條警告：這款模型在嗅探軟件漏洞方面能力過強，已經發現了數千個高危漏洞，必須修復后才能公開。當時很多人把這當作典型的AI安全宣傳話術。三個月后，Mozilla的安全團隊用實際數據證明，這話并非夸張。

周四，Mozilla發布了一份技術復盤，詳細記錄了Mythos在Firefox代碼庫中的實戰表現。結果超出預期：模型挖出了大量高危漏洞，其中一些在代碼里沉睡了超過十年。更關鍵的是，這批漏洞的質量和過去AI工具輸出的"噪音"完全不在一個量級。

Firefox工程師Brian Grinstead在接受TechCrunch采訪時說："這些東西突然變得非常好用。我們的內部掃描、外部漏洞報告、行業各種信號都指向同一個結論。"這種轉變的速度令人意外——就在六個月前，AI漏洞挖掘工具還是個讓人頭疼的存在：報告質量低、誤報率高，安全團隊不得不花大量時間過濾垃圾信息。

Mozilla的研究人員認為，轉折點出現在兩個維度。一是模型本身的能力躍升，二是"智能體系統"（agentic systems）的成熟——現在AI可以評估自己的工作成果，自動過濾掉明顯錯誤的輸出。他們在報告中寫道："很難夸大這幾個月里變化有多大。首先是模型變強了，其次是我們駕馭模型的技術大幅改進。"

數字最能說明問題。2026年4月，Firefox發布了423個漏洞修復；而一年前的同一月份，這個數字是31。十三倍的增長并非因為代碼突然變爛了，而是檢測能力出現了質變。Mozilla還公開了12個具體漏洞的技術細節，包括一對罕見的沙箱逃逸漏洞，以及一個存在了15年的HTML解析錯誤。

沙箱漏洞尤其值得關注。沙箱是瀏覽器隔離惡意代碼的核心機制，一旦突破，攻擊者就能訪問系統資源。Mythos發現的這類漏洞，過去需要資深安全研究員耗費數周甚至數月才能定位。現在，一個AI模型在批量掃描中把它們揪了出來。

這種能力正在重塑安全團隊的工作流。傳統模式下，漏洞挖掘高度依賴專家經驗和手工審計，成本高昂且難以規模化。AI工具的介入不是簡單替代人力，而是改變了問題的性質：從"我們能找到多少漏洞"變成"我們修復漏洞的速度能否跟上發現的速度"。

Mozilla的案例也揭示了AI安全工具的一個關鍵演進方向。早期產品追求覆蓋率，結果淹沒用戶在誤報里；新一代工具把重點放在"可行動的輸出"——不是告訴你哪里可能有問題，而是給出經過驗證、可以直接跟進的具體漏洞。這種轉變對大型代碼庫維護者來說是剛需。

當然，這并不意味著人類研究員要失業。Grinstead強調，AI發現的問題仍需人工復核和修復，復雜的邏輯漏洞目前仍是人類的主場。但工作重心明顯在轉移：研究員越來越多地扮演"策展人"角色，設計掃描策略、驗證AI輸出、處理邊緣案例，而不是從頭開始挖漏洞。

對于整個軟件行業，Firefox的實驗提供了一個可參照的樣本。當AI漏洞挖掘從"可用"進入"好用"階段，安全響應的節奏必須隨之調整。423個修復 versus 31個，這個差距不只是數字游戲，它暗示著一種新常態：代碼暴露面在被AI持續、系統地審視，隱藏十年的漏洞也可能突然現身。

Anthropic當初那句警告的潛臺詞正在顯現——當漏洞發現能力急劇提升，"修復窗口"的壓力會同步放大。對Firefox這樣的開源項目，這意味著社區協作和響應機制要跟上AI的節奏；對閉源商業軟件，則可能意味著安全債務的加速暴露。無論哪種情況，舊有的安全運營假設都需要重新校準。