Anthropic的Mythos模型如何重塑Firefox的网络安全策略

今年4月，Anthropic发布了全新的Mythos模型，同时向软件开发者发出了严正警告。据该公司称，这一模型在发现软件漏洞方面表现出极强的能力，已识别出数以千计的高危漏洞，这些漏洞必须在模型公开发布前得到修复。

如今，Mozilla Firefox浏览器的安全研究人员正在揭示这一过程的实际情况，以及Mythos的能力对整个软件安全领域意味着什么。

Mozilla在近日发布的一篇文章中表示，Mythos已发现了大量高危漏洞，其中一些漏洞在代码中潜伏超过十年之久。

这与六个月前AI安全工具的能力相比，已有了显著提升。在此之前，AI漏洞检测工具存在明显缺陷，往往会向安全团队提交大量低质量报告和误报结果。但Mozilla的研究人员表示，新一代工具已实现重要突破，尤其是在智能体系统能够自我评估并过滤掉无效结果之后，效果更为显著。

"在短短几个月内，这种变化对我们来说几乎难以形容。"研究人员写道，"首先，模型的能力大幅提升。其次，我们在驾驭这些模型的技术方面也取得了重大进步。"

成果颇为亮眼：2026年4月，Firefox共发布了423项漏洞修复，而恰好一年前的同期仅为31项。研究人员还公布了其中12个漏洞的详细信息，涵盖两个罕见的沙盒漏洞，以及一个存在长达15年之久的HTML元素解析错误。

Mozilla杰出工程师Brian Grinstead在接受TechCrunch采访时表示："这些工具突然之间变得非常好用。我们在内部扫描中能看到这一点，在外部漏洞报告中能看到，在整个行业的各类信号中也能看到。"

该系统能够协助发现Firefox"沙盒"系统中的漏洞，这一点尤为值得关注，因为利用沙盒漏洞的攻击本身极为复杂。要发现沙盒漏洞，模型必须先为浏览器编写一个存在问题的补丁，再利用新代码攻击软件中最为安全的部分。整个漏洞的发现与验证过程需要多个步骤，既考验创造力，又要求极高的细致程度。

以此为背景，Mozilla的漏洞赏金计划向能发现Firefox沙盒漏洞的研究人员提供最高2万美元的奖励，是所有类别中最高的悬赏金额。然而，尽管奖励丰厚，Grinstead表示Mythos发现沙盒问题的数量已远超人类研究人员。"我们确实会收到人工提交的报告，"他告诉TechCrunch，"但数量远不及我们用这种技术所能发现的。"

值得注意的是，尽管AI编程工具的进展有目共睹，Firefox团队目前仍未将AI用于漏洞修复。团队会要求AI为每个漏洞生成修复补丁，但生成的代码通常无法直接部署，只能作为人工工程师的参考范本。

"对于我们在这篇文章中讨论的漏洞，每一个都是由一名工程师编写补丁、另一名工程师进行审查来完成的，"Grinstead说，"我们尚未发现可以实现自动化修复的方式。"

AI新兴能力将如何改变网络安全领域更广泛的力量格局，目前仍有待观察。Mythos预览发布至今仅一个月，大多数已发现的漏洞可能尚未完成修复，因此很难全面评估其影响范围。Anthropic在遵循负责任披露规范方面态度严谨，但恶意行为者很可能正在幕后使用类似技术，即便他们使用的模型能力稍逊一筹。

在近期的一场活动中，Anthropic首席执行官Dario Amodei对新工具未来的走向持乐观态度。他表示："如果我们处理得当，最终的处境可能比起点更好，因为我们修复了所有这些漏洞。可以被发现的漏洞数量终究是有限的。所以我认为，这件事的另一面是一个更美好的世界。"

而亲历了这些繁琐细节的Grinstead则持更为审慎的态度："这对攻击者和防御者都有用，但工具的存在让优势稍稍向防御方倾斜。说实话，目前还没有人知道确切的答案。"

Q&A

Q1：Anthropic的Mythos模型在发现Firefox漏洞方面有多强？

A：Mythos表现相当突出。2026年4月，Firefox借助该模型共发布了423项漏洞修复，而一年前同期仅有31项。Mythos不仅发现了普通漏洞，还挖掘出沙盒漏洞及潜伏超过15年的代码错误。Mozilla的赏金计划对沙盒漏洞提供高达2万美元的奖励，但Mythos发现此类漏洞的数量已超过人类研究人员的总量。

Q2：Firefox团队有没有用AI来自动修复漏洞？

A：目前没有实现自动化修复。Firefox团队会让AI为漏洞生成补丁代码，但这些代码通常不能直接部署，只作为参考。每个漏洞的最终修复仍需一名工程师编写补丁、另一名工程师审查，团队表示目前尚未找到可自动化处理的方式。

Q3：Mythos的出现对网络安全攻防格局有什么影响？

A：目前尚无定论。Anthropic CEO Dario Amodei认为，若处理得当，修复大量漏洞后防御方将处于更有利的位置。但Mozilla工程师Brian Grinstead则持更谨慎的态度，他认为该工具对攻防双方都有帮助，只是略微向防御方倾斜，并坦言目前业界还没有人能给出明确答案。