北京
4月,Mozilla一口气修了423个安全漏洞。其中271个来自Anthropic的Claude Mythos Preview,这个数字让安全圈有点意外——不是意外AI能找漏洞,而是意外它找得这么准。
Mozilla在官方博客详细拆解了这套系统。他们没让AI直接读代码,而是在Firefox现有的模糊测试(Fuzzing)基座上搭了一层智能代理。流程很干脆:指定源码文件→AI挖掘漏洞→生成可复现的测试用例→验证是否真崩溃。这套闭环把"AI发现"变成了"工程师能用的报告"。
271个漏洞的分布很说明问题:高危(sec-high)180个,中危80个,低危11个。Mozilla特意解释,即便高危漏洞,通常也无法单点突破Firefox,现实攻击需要多漏洞链式配合。但这里面藏着多个可能用于沙箱逃逸的漏洞——攻击者权限提升的关键跳板。
漏洞覆盖的范围相当杂:JIT编译器、WebAssembly GC、IndexedDB、WebTransport、XSLT、HTML表格、RLBox沙箱……还有两个"古董级"发现:元素的15年老bug,XSLT模块的20年遗留问题。传统模糊测试和人工审计没扫到的复杂死角,AI这次挖出来了。
几个月前,AI漏洞报告还是开发者的噩梦——误报率高,审起来累。Mozilla说这次"几乎没误报"。技术负责人Brian Grinstead的底气来自两层校验:Mythos输出后,再用另一个大模型做二次评估。开发者拿到的报告,可信度接近传统手段。
更有意思的是"没找到的东西"。日志显示,AI的某些攻击尝试被早年部署的原型污染防护机制拦住了。多层防御体系在实战中生效,这是比漏洞清单更隐蔽的收获。
Mozilla把这波成果定性为"防御方的利好消息"。当攻击者还没大规模用上同等级AI时,防守方先一步把大模型嵌进了工程流水线。时间窗口不长,但确实抢到了先手。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
