Mythos AI在Firefox中发现271个漏洞，与人类研究员能力相当

Mozilla基金会近日披露，其对Anthropic旗下专注于漏洞挖掘的AI模型"Mythos"进行了测试，并认为此次测试结果对软件安全防御领域而言是一个重要的转折点。

Mozilla方面表示，此前曾使用Anthropic的Opus 4.6模型对Firefox 148进行漏洞扫描，共发现22个漏洞。而此次Mythos在Firefox 150中发现了多达271个安全漏洞。

对于这一结果，Mozilla首席技术官Bobby Holley表示心情复杂。他形容Firefox团队在面对如此大量的待修复漏洞时感到"头晕目眩"。

他写道："对于一个经过充分加固的目标系统而言，即便是在2025年，单独发现一个此类漏洞也足以触发红色警报，如此密集的漏洞数量不禁让人开始怀疑，跟上修复的节奏究竟是否可行。"

尽管如此，他同样认为Mythos发现的大量漏洞代表着安全团队"看到了隧道尽头的曙光"。

"我们的工作尚未完成，但我们已经迈过了关键节点，可以展望一个远比现在更好的未来，"他写道，并以加粗字体强调："防御方终于有机会取得决定性的胜利。"

他之所以做出这一预判，是因为他认为"迄今为止，整个行业在安全领域的攻防博弈中基本处于僵持状态"，同时也承认要彻底消除所有漏洞几乎是不可能完成的任务。

他进一步解释道："我们的目标从来不是完全消灭漏洞，而是让利用漏洞的成本高到只有预算几乎无上限的攻击者才能负担，并通过这种高昂代价来遏制其随意滥用的动机。"

Bobby Holley认为，Mythos从根本上改变了安全攻防格局，因为它在无需人工干预的情况下，比Mozilla现有的模糊测试工具更进了一大步。

"顶级安全研究人员主要依靠逐行推理源代码来发现模糊测试无法触达的漏洞，"他写道，"这种方法虽然有效，但耗时长、高度依赖稀缺的人类专业知识。几个月前，计算机完全无法胜任这项工作，而如今它已经能够出色地完成。我们在分析全球顶尖安全研究人员成果方面积累了多年经验，Mythos Preview的能力与他们不相上下。目前为止，我们还没有发现任何人类能找到而该模型找不到的漏洞类型或复杂度。"

这位CTO认为，Mythos的能力"短期内可能令人感到震惊，但从长远来看，对防御方而言是利好消息"。

"机器可发现漏洞与人类可发现漏洞之间的差距，历来有利于攻击者——攻击者可以集中数月高昂的人力成本来挖掘单个漏洞。弥合这一差距，意味着所有漏洞的发现成本都将趋于低廉，从而削弱攻击者的长期优势。"

他还特别指出："令人鼓舞的是，我们目前也尚未发现任何超出顶级人类研究人员能力范围的漏洞。"

此外，他对那些声称"未来AI模型将发现人类认知无法理解的全新漏洞类型"的观点泼了冷水。他认为这种情况不会发生，原因在于："像Firefox这样的软件是以模块化方式设计的，以便人类能够对其正确性进行逻辑推理。它是复杂的，但并非无限复杂。"

"软件缺陷的数量是有限的，我们正在进入一个终于能够将它们全部找出来的时代。"

Q&A

Q1：Mythos是什么？它在Firefox漏洞挖掘中表现如何？

A：Mythos是Anthropic开发的一款专注于漏洞挖掘的AI模型。在测试中，Mythos在Firefox 150中共发现了271个安全漏洞，远超此前Opus 4.6模型在Firefox 148中发现的22个漏洞。Mozilla CTO认为其能力与顶级人类安全研究人员相当，目前尚未发现人类能找到而Mythos无法识别的漏洞类型。

Q2：Mythos发现的漏洞是否超出了人类安全研究员的能力范围？

A：目前没有。Mozilla CTO Bobby Holley明确表示，截至目前，Mythos还未发现任何超越顶级人类研究人员能力范围的漏洞类型或复杂度。他同时也对"AI将发现全新形态漏洞"的说法持保留态度，认为Firefox等软件采用模块化设计，其缺陷数量是有限且可穷举的。

Q3：AI漏洞挖掘能力的提升，对网络安全攻防格局有何影响？

A：Mozilla CTO认为，AI漏洞挖掘能力的提升对防御方是利好消息。过去攻击者可集中大量人力寻找单个漏洞从而获得优势，而AI的介入使漏洞发现成本大幅降低，有望弥合机器与人类在漏洞发现上的差距，最终削弱攻击者的长期优势，让防御方"有机会取得决定性胜利"。