IEEE中国
26-05-09 15:48 微博认证:美国IEEE有限公司北京代表处

【从Mythos看Anthropic重构火狐安全防护策略】今年4月,Anthropic发布全新Mythos模型 时,也向所有软件开发从业者发出了严厉警示。该实验室称,这款模型挖掘软件漏洞的能力极强,已找出数千个高危漏洞,必须全部修复后才能对外公开(http://t.cn/AXMLSluU)。

如今,火狐浏览器(Mozilla Firefox)的安全研究人员首次详细披露了实际应用过程,以及Mythos的超强能力对整个软件安全领域意味着什么。

Mozilla在近日发布的文章中表示,Mythos已挖出大量高危漏洞,其中部分漏洞在代码中潜伏了十余年一直未被发现(http://t.cn/AXJFyek2)。

相较半年前AI安全工具的水平,眼下已是质的飞跃。在此之前,AI漏洞检测工具存在明显短板,往往会产出大量低质量报告与误报漏洞,让安全团队不堪其扰。但Mozilla研究人员表示,新一代工具已迎来拐点式突破,尤其是智能体系统能够自主评估工作成果、自行过滤无效结果。

研究人员写道:“短短数月间,这种态势变化之大,怎么形容都不为过。一方面,模型自身能力大幅提升;另一方面,我们运用这类模型的技术也实现了跨越式优化。”

2026年4月,火狐浏览器推送了423项漏洞修复,而去年同期仅有31项。研究人员还公开了其中12个漏洞详情,涵盖两处罕见的沙箱漏洞,以及一个潜伏长达15年的浏览器HTML元素解析程序错误。

Mozilla杰出工程师Brian Grinstead向科技媒体TechCrunch表示:“这类AI工具突然变得异常强大。无论是内部代码扫描、外部漏洞上报,还是行业各类各项数据表现,都能印证这一点。”

该AI系统能够找出火狐沙箱机制中的漏洞,这一点尤为令人钦佩,因为利用这类漏洞实施攻击的技术门槛极高。要发现沙箱漏洞,模型需要先为浏览器编写可被攻破的测试补丁,再通过部署新代码,对软件最安全的核心区域发起模拟攻击。找出并验证这类漏洞是一套精细且多步骤的复杂流程,既需要创造性思维,又要求极度严谨细致。

可以参照一个背景:Mozilla的漏洞赏金计划中,成功发现火狐沙箱漏洞的研究人员,最高可获2万美元奖励,也是该计划的最高赏金档位。即便赏金丰厚,Grinstead坦言,Mythos发现的沙箱漏洞数量,已经远超人类安全研究员的过往成果。他对TechCrunch表示:“人类也能挖到这类漏洞,但远达不到现在AI这种批量发现的量级。”

值得注意的是,尽管AI编码工具已有长足发展,但火狐团队仍未用AI直接修复漏洞。团队会让AI为每个漏洞编写补丁代码,但生成的代码通常无法直接部署,只能作为人类工程师的参考范本。

Grinstead表示:“本文所提及的每一个漏洞,全部都是由一名工程师编写补丁、再由另一名工程师审核完成,我们目前还无法实现全流程自动化修复。”

目前尚不清楚,AI新兴能力将如何改写整个网络安全领域的力量格局。Mythos模型亮相至今已有一个月,其发掘出的大部分漏洞大概率尚未完成修复,因此很难评估其带来的整体影响。Anthropic始终严格遵循漏洞负责任披露规范,但可以肯定的是,即便不法分子所用模型性能稍逊,他们也早已在暗中运用同类技术手段。

Anthropic首席执行官Dario Amodei在近期活动上乐观表示,这类新型工具最终会利好网络安全防御方。他称:“如果我们应对得当,整体局面会比之前更好,因为我们能把海量漏洞全部修复。可被找到的漏洞总量终究是有限的。所以我相信,渡过这一阶段后会迎来更好的安全格局。”

而深耕一线、亲历各类繁杂实操细节的格林斯特里德,则观点更为审慎理性:“这类工具对攻击方和防御方都有用,但工具普及后,优势会略微向防御端倾斜。客观来讲,目前没人能给出确切定论。”

http://t.cn/AXJFyekA

发布于 北京