今天,Mozilla放出一篇爆火的深度复盘博文——
就Firefox团队而言,凭借Claude Mythos Preview这个东东开云真人app,开云真人app地址,于短短一个月的时间范围之内,修复了数量为423个的安全漏洞!
能够让人惊到眼睛瞪得大大的,嘴巴也合不拢的是,在4月这个单独的月份里所进行的漏洞修复数量,竟然高出了在此之前15个月加起来的总数。
2025年,Firefox平均每个月修复二十一点五个安全漏洞,在同一时期的4月,仅仅只有三十一个漏洞被解决了。
这样的降维打击致使技术圈完全坐不住,评论区早就被AI大佬发出的「哇塞」刷屏了。
大佬亲自下场复盘:真正的「顶级猎手」
这是 Mozilla 工程师写下的原话,原话语句为,在那突然的瞬间,那些漏洞错误变成了特别优良的状态。
就在几个月以前,由AI生成的安全漏洞报告,那时它还是开源社区称作的「噩梦」——怎么看觉着挺像模像样那回事儿,可实际上全部都是Slop。
维护者花大量时间去验证一个「发现」,结果发现全是幻觉!
可是这所有的一切,于仅仅几个月的时间之内,产生了翻天覆地般的改变。主要缘由存在两个:
其一,模型自身变得更强了;其二,操控模型的工程办法出现了质的跨越,这质的跨越体现为有了质的飞跃。
说白了,模型在飞速变强,工程师在飞速学会怎么用它。
那两条曲线相互乘,得出的结果便是Firefox这一个月的423这个夸张值,是这个数,没错。
271个漏洞,180个高危,有的藏了20年
在今年2月起始之时,Firefox团队便与Anthropic开启行动,着手展开合作了。
首先使用的是Claude Opus 4.6,而后在Firefox 148里对22个安全漏洞予以修复。
当Firefox 150版本发布之际,恰逢其时Mythos Preview出现,谁都未曾料想到,它一下子就挖掘出了271个安全漏洞。
更狠的是细节,这271个漏洞中:
180个被评为「高危」(sec-high)
80个被评为「中危」(sec-moderate)
11个被评为「低危」(sec-low)
那个sec - high级别的漏洞,只要是用户正常去浏览网页,那么就有可能被触发。
这种漏洞,在过去十几年当中,经常性地是被外部白帽子依仗高额悬赏给挖掘出来,一次的赏金就是几千美元,甚至是上万美元。
当下,Mythos径直席卷了271个,随后,它又于149.0.2、150.0.1以及150.0.2里接连修复了更多。
4月,总计423个安全漏洞,其中271个是由Mythos直接发现的,另外41个则来自外部安全研究员。
当中剩余的那111个,是被内部团队借助源于Mythos以外的其余模型、以及模糊测试等各类方式给发现的。
更重磅的是,Mozilla还公开了12个漏洞的详细报告。
存在一个HTML 元素方面的漏洞,它在代码里潜藏了15年,另外,有一个与XSLT相关的bug,其存在时长达到了整整20年。
「沙箱逃逸」都能挖,赏金2万刀那种
让安全圈震动程度最深的,是Mythos发现了多个「沙箱逃逸」漏洞,也就是sandbox escapes。
哪怕网页遭到攻击者把控的状况下,浏览器也会将每一个网页放置于一个“沙箱”之中开展运作,进而根本没有办法逃离这个进行隔离的区域。
转而沙箱逃逸状况呢,是寻觅到办法自这个隔离区域进行「越狱」行为,进而获取到更高权限的情况。
这类漏洞有多难找?连Fuzzing都很难覆盖。
Mozilla的那个「Bug Bounty计划」,针对沙箱逃逸漏洞所给出的最高赏金数额为2万美元,此乃整个赏金体系里的天花板。
即使给出了最高限度的赏金,Firefox安全工程师Brian Grinstead也表示,「Mythos所找出的沙箱逃逸漏洞数量,已然超出了人类安全研究员数量的总和」。
而Mythos找「沙箱逃逸」的方式也很硬核:
它能够自行编写一段带有敌意的补丁,将其注入沙箱进程,接着拿这段代码去对浏览器最为安全的部分展开攻击。
整个过程需要创造性思维,以及对多进程架构的深度理解。
Agentic Harness,换模型只需一行代码
但,模型强只是一半。
最开始的时候,他们试着采用GPT - 4或者Claude Sonnet 3.5去开展「静态代码分析」这项工作 ,然而得出的结果却是误报率过高 ,完全没办法实现规模化。
具备能动作用的束装的现身,演变成了关键的转折点,这一整套体系的核心内在逻辑是——。
发现漏洞:给模型一段代码,让它找Bug
动态验证,其方式为模型编写测试用例,以此来动态验证假设,再者,能够复现的情况才是算数的,而不能复现的情况会被自动排除。
去重和分诊:自动和已知漏洞比对,避免重复
跟踪和修复:进入正式的安全Bug生命周期
一开始,团队在终端里手动盯着模型跑,调Prompt。
顺利跑通之后,便开始启动并行化,于多台临时虚拟机上同时开展运行操作,每一台VM都专门负责扫描一个具有特定指向的文件或者函数。
需要特别指出的是,一旦搭建好了Pipeline,那么更换模型仅仅只是一行代码所能够达成的事情。
先是从Opus 4.6进行切换,然后切换到Mythos Preview,最终呈现出的状态几乎是无缝衔接的样子。
并且,每一次模型进行升级的时候,整条Pipeline所呈现出来的效果都会一齐增大放:能够达成发现能力更为强大,验证变得更加精准,所生成的报告质量也更高这样的情况。
一些安全专家所说的那样,真正的杠杆,或许并不单存在于模型自身,而是在于Harness的工程能力。
100多人连夜加班,不是自动修bug
Mythos Preview找到漏洞只是第一步。
在博文中,Brian Grinstead表述得极为直接,那就是,每一个Bug的情况都是,要有一个工程师去编写补丁,并且还要有另一个工程师来进行Code Review。
AI写的补丁只能当参考,不能直接部署。
超100名工程师,参与了代码贡献,目的是去消化那史无前例的漏洞洪流。
从事写补丁工作的人员,进行代码审查的人员,搭建管道的人员,开展做分类工作的人员,负责测试修复的人员,以及管理发布流程的人员,全体人员都上阵。
此次是Firefox历经的规模最为庞大的安全修复行动,于此期间,诞生了在其全部历史进程里最为安全的Firefox版本。
正面对决:Anthropic VS OpenAI
Firefox的423个漏洞只是冰山一角。
于这场 AI 安全能力的竞赛里头,Anthropic与OpenAI正顺着两条全然不同的路线,以全速向前冲刺。
而两家的布局,已经清晰到令人窒息。
先看Anthropic这边。
4月初的时候,Claude Mythos Preview发布了开云正版app下载开云app在线入口,与此同时,还使出了一个被称作「Project Glasswing」的东西,也就是玻璃翼计划。
Anthropic发布了其有史以来最为强大的模型,接着,亲手将这个模型给关闭了起来。
对于Mythos,他们宣称,在每一个为主流归类的操作系统里,发现了处在高危态势的漏洞数达数千个,在每个主流浏览器之中,同样发现了数千个高危漏洞,甚至,其中还涵盖了一个潜伏时长为27年的漏洞,名为OpenBSD。
转而瞧瞧OpenAI这个方向,他们所采取的路线刚好与之相反,是尽可能朝着广泛的范围去进行开放。
仅仅在Anthropic发布Mythos一周之后,OpenAI就迅速地跟进,发布了GPT - 5.4 - Cyber,TAC计划同时进行扩展用于数千名个人防御者以及数百个安全团队。
在今天,GPT-5.5-Cyber已朝TAC用户级别最高层级开放,它这一开放就能被用以猎杀漏洞,还能够对恶意软件展开分析,也可以进行逆向工程攻击。
在官博所做的介绍里面,GPT - 5.5 - Cyber于网络任务当中,取得了81.9%的成绩。
OpenAI所秉持的逻辑清晰呈现为这样三个节点:一是对身份予以验证,二是实施分级授权,三是让尽可能数量众多的防御者能够获取到尽可能具备强大威力的武器。
在当下,Anthropic在努力地建造阻挡之物,OpenAI也在奋力地构建阻隔之墙。然而,人工智能安全方面的能力开运真人app下载苹果版,开运真人app下载,其扩散的速率,有可能会比它们建造的速度还要更快一些。
参考资料:
https://x.com/alexalbert__/status/2052468573516513762?s=20
https://x.com/TechCrunch/status/2052420271970390042
https://x.com/AnthropicAI/status/2052466175540629965?s=20
标签: Firefox ClaudeMythosPreview 安全漏洞 AI Mozilla
还木有评论哦,快来抢沙发吧~