最新的主要評論 Mozilla Firefox 帶來了一個重大驚喜。 幕後:該瀏覽器在經過Anthropic公司專注於網路安全的人工智慧模型Claude Mythos的深入分析後,不得不修復271個安全漏洞。這遠非一個簡單的實驗,而是被視為大型連網應用程式安全防護方式的潛在轉折點。
多年來,Mozilla 一直吹噓 Firefox 是其中之一。 更多經過審核且更強大的開源瀏覽器然而,與 Anthropic 的合作揭示了大量潛在漏洞。好消息是,這些漏洞在被利用之前就被修復了;令人擔憂的是,我們發現攻擊面仍然隱藏著大量弱點,而這些弱點既沒有被人工測試檢測到,也沒有被傳統的分析技術發現。
Firefox 150:此次更新修復了 271 個漏洞。
據 Mozilla 首席技術長 Bobby Holley 稱,這項工作是…的一部分 與 Anthropic 直接合作 在Glasswing專案中,這家人工智慧公司透過其限制性計畫允許技術合作夥伴分析關鍵軟體,此次掃描的重點是瀏覽器的原始程式碼,特別關注渲染引擎、沙箱和進程隔離層等敏感元件。
霍利承認,從歷史上看,業內人士一直認為 徹底消除漏洞是不切實際的目標。該策略旨在透過縱深防禦、沙箱技術以及使用 Rust 等更安全的語言來盡可能增加攻擊難度,但始終承認漏洞終究會出現。 Mythos 的大規模發現強化了這一觀點,同時也表明攻防平衡可能正在向防禦者傾斜。
首席技術長本人指出,如果發現此類故障,那麼就會造成嚴重後果。 2025年,針對高度保護目標發出紅色警報因此,據 Mozilla 稱,當其他安全團隊看到一次性發現的漏洞總數時,他們感到一陣眩暈,這種情況考驗著任何組織的反應能力。
從 Opus 到 Mythos:人工智慧審計的飛躍
Mozilla 和 Anthropic 的合作並非始於 Mythos。幾個月前,該基金會就曾經進行過測試。 克勞德作品 4.6Anthropic 的先進模型被用於審查早期版本的瀏覽器。首次測試修復了 Firefox 148 中的 22 個安全漏洞,其中一些漏洞非常嚴重,即使在當時也被認為是一項了不起的成就。
然而,克勞德·米索斯預覽版的到來意味著… 偵測到的漏洞數量規模躍升了約十二倍。Opus 4.6 辨識出了數十個漏洞,而 Mythos 則發現了 271 個漏洞,並在內部測試中產生了超過 180 個可利用的漏洞利用程序,證明了這些漏洞的實際可利用性。就審計效率而言,這是一個顯著的進步。
Mozilla強調,Anthropico的模式已經取得了成功 表現堪比頂尖人體研究人員他們澄清說,重要的不是它發現了全新的漏洞類型,而是它能夠系統地定位專家也能發現的許多問題,而且所需時間更短,規模之大,對於人工團隊來說幾乎是無法管理的。
該組織一再強調的一點是: 目前尚未發現任何超出優秀研究人員能力範圍的漏洞。這與 Mozilla 的觀點一致,Mozilla 認為人工智慧不會憑空創造出完全挑戰我們當前安全認知的攻擊方法;相反,它會增強我們已經能夠完成的工作,而且不受時間、疲勞或資源的限制。
對於像 Firefox 這樣複雜且模組化的應用程式來說,其設計初衷就是為了讓用戶能夠理解其各個組成部分,因此這種方法是合理的。改變的與其說是錯誤的性質,不如說是… 在更短的時間內發現更多東西的能力對於一款作為通往數千種服務和應用程式(包括金融平台、遠端辦公工具和歐盟線上公共服務)的入口網站的瀏覽器來說,這一點至關重要。
從進攻模式到試圖取得防守優勢
多年來,軟體安全一直朝著一個方向發展 進攻方和防守方之間微妙的平衡現代瀏覽器的攻擊面非常大,用傳統工具無法完全覆蓋,這使得攻擊者獲得了不對稱優勢:他們只需要找到一個位置恰當的漏洞就能達到目的。
Mozilla承認,其策略依賴以下因素的組合: 縱深防禦、嚴格的沙盒機制以及大量使用Rust 為了最大限度地減少某些類型的錯誤,需要採用模糊測試等技術,透過向程式碼輸入隨機資料來強制出現意外故障。然而,Firefox 團隊也承認,仍存在一些問題。 程式碼中有些部分更難進行模糊測試。這會造成防護漏洞,而這些漏洞可能會被耐心十足的攻擊者利用。
使用像 Claude Mythos 這樣的人工智慧,為解決這個難題引入了新的元素。與隨機測試或人工審核不同,該模型能夠… 分析原始碼,識別可疑模式,並提出漏洞利用方案。 這可以判斷故障是否真的十分嚴重。這減少了對高度專業化團隊的過度依賴,因為這些團隊數量稀少,而且無法處理大量需要審查的軟體。
對 Mozilla 而言,這打開了通往…的大門。 逐步縮小機器能夠偵測到的錯誤與人類專家能夠發現的錯誤之間的差距。如果防禦者發現漏洞的成本大幅下降,攻擊者過去習慣花費數月時間尋找單一有利可圖的漏洞,而這種結構性優勢的一部分就會消失。
霍利承認,一下子看到這麼多錯誤,最初的衝擊簡直就像一場內心地震,但他堅持認為,最初的衝擊過後,感覺是積極的:如果能夠優先分配資源,集中精力糾正人工智能揭示的錯誤, 防守方可以使用相同的武器。也就是說,前提是必須有團隊能夠吸收大量的研究成果,並將其轉化為有效的補丁。
這種強大的安全人工智慧的風險:一把明顯的雙面刃
儘管 Mozilla 的熱情較為溫和,但歐洲網路安全領域的許多機構都在密切關注著事態發展。 濫用 Claude Mythos 等工具的可能性同一套能夠發現 Firefox 漏洞的系統,如果落入不法分子之手,也可以用來自動發現作業系統、熱錢包、去中心化應用程式或關鍵基礎設施服務中的漏洞。
人用製藥公司意識到了這種風險,事實上,他們也堅持這樣做。 Mythos目前僅可透過Project Glasswing以非常有限的權限取得。包括蘋果、微軟、Google、亞馬遜網路服務、Linux基金會以及Mozilla在內的多家大型科技公司都是這群成員,它們利用這種模式來審計自身的軟體,在某些情況下還會審計戰略基礎設施。其理念在於嚴格控制分析的內容和分析的目的。
近期報告顯示,在受控測試中,克勞德·米索斯已達到 識別並利用廣泛使用的系統中的零日漏洞從瀏覽器到作業系統,它都能發揮作用。甚至有記錄顯示,它能夠相當自主地執行複雜的網路操作,例如對企業網路進行多階段入侵模擬。
這些能力不僅引起了企業的興趣,也引起了… 政府和情報機構例如,據報道,儘管公眾對在戰爭或監視環境中使用此類工具有所保留,但美國國家安全局甚至在機密網路上運行了 Mythos。
對於歐洲而言,關於…的辯論正在進行中 人工智慧監管和資料保護 情況尤其激烈;像 Firefox 和 Mythos 這樣的案例為各方提供了論點:一方面,它們表明了管理良好的 AI 在保護數百萬用戶方面的價值;另一方面,它們也凸顯了確保此類模型不會最終助長新一代大規模自動化攻擊的必要性。
對開源軟體生態系統和歐洲用戶的影響
Firefox 在瀏覽器領域佔據著獨特的地位。儘管它的市場份額已被 Chromium 及其衍生版本蠶食,但它仍然是… 在重視自由軟體和隱私的環境中,這是一個關鍵組成部分。就像許多歐洲公共行政部門、學術機構和 GNU/Linux 系統的高級使用者一樣。
在這種情況下,發現271個漏洞可以從兩個面向來解讀。一方面,它證實了即使 經過嚴格審核的開源專案可能會隱藏大量漏洞。原因很簡單,程式碼庫非常龐大,人工審查無法涵蓋所有部分。另一方面,這也顯示開放式開發模式使得包括高階人工智慧在內的外部工具更容易檢查程式碼,並為提升程式碼安全性做出貢獻。
Mozilla承認,在Mythos的幫助下,它現在擁有了 為加強安全,還有一長串待辦事項。 他們的旗艦應用程式。對於西班牙和歐洲其他地區的最終用戶,建議很簡單: 保持瀏覽器更新 為了受益於這些補丁,版本 150 不僅修復了已發現的錯誤,而且還保持了效能、相容性和功能(例如沙盒和本地網路權限管理)的持續改進。
此外,Firefox 案可以作為先例 其他開源項目 這些工具在企業、公共機構和關鍵服務部門中被廣泛使用。諸如網頁伺服器、加密庫和開發框架等廣泛部署的工具,都可以從類似的AI驅動審計中受益。這在歐盟尤其重要,因為歐盟關於網路安全和數位韌性的指令正變得日益嚴格。
正如 Mozilla 自己承認的那樣,挑戰在於許多此類專案缺乏… 足夠的人力或經濟資源來消化研究成果 而像 Mythos 這樣的模型就能產生這樣的結果。這就需要自由軟體基金會和支持開源安全的公共政策來發揮作用了,這個問題在 Log4Shell 等事件發生後已經在布魯塞爾被提出。
網路安全領域人與人工智慧關係的新階段
除了271個漏洞的軼事之外,Firefox案例也提出了一個問題: 人類研究人員與人工智慧之間關係的焦點轉變 在網路安全領域,Mozilla 提倡一種模式,即先進工具可以擴展安全團隊的能力,但不會取代他們的判斷或經驗,而不是將兩者對立起來。
該組織將克勞德·米索斯描述為一種 不知疲倦的安全研究員能夠審查大量程式碼、提出漏洞方案並識別風險模式。同時,人工專家仍負責確定優先順序、確認、修正並最終決定哪些變更會被引入最終產品中。
這種合作願景對歐洲網路安全市場有直接影響,因為該市場中的公司和研究中心已經開展相關業務。 他們正在嘗試將人工智慧應用於程式碼審計、惡意軟體分析或入侵檢測。如果 Mozilla 的成果能在其他專案中複製,我們或許可以看到對重大故障的反應時間縮短,不堪重負的安全團隊的壓力至少會得到一定程度的減輕。
同時,Anthropologie 和 Mozilla 的經驗也清楚地表明了以下方面的重要性: 重新評估用於衡量人工智慧模型性能的方法 在安全任務方面,Anthropic公司本身也承認,許多現有的基準測試已經無法充分評估其最新系統的實際效能,因此有必要設計更具挑戰性和代表性的測試。
如果說 Mozilla 和 Anthropologie 有什麼共識的話,那就是,就目前而言, 人類的判斷是無可取代的。 在風險管理領域,人工智慧加速並擴展了問題搜尋的範圍,但決定修復什麼、如何修復以及在什麼時間表上修復,仍然取決於團隊,他們必須權衡安全性、用戶影響和可用資源。
種種跡象表明,Firefox 150 的發布,以及其中修復的 Claude Mythos 指出的 271 個漏洞,將被視為一個值得紀念的時刻。 網路安全朝著智慧自動化邁出了重要一步。因此,Mozilla 瀏覽器成為了一個案例研究,展示瞭如何在不忽視相關風險或需要密切人工監督的情況下,將高階人工智慧整合到關鍵產品的開發和維護生命週期中。對於西班牙和歐洲的使用者、開發者和政策制定者而言,這一教訓顯而易見:人工智慧不再只是一個未來概念,而是一種正在重新平衡這場數十年來一直由攻擊者主導的戰爭的工具。
