最新的主要评论 Mozilla Firefox 带来了一个重大惊喜。 幕后:该浏览器在经过Anthropic公司专注于网络安全的人工智能模型Claude Mythos的深入分析后,不得不修复271个安全漏洞。这远非一个简单的实验,而是被视为大型联网应用程序安全防护方式的潜在转折点。
多年来,Mozilla 一直吹嘘 Firefox 是其中之一。 更多经过审核且更强大的开源浏览器然而,与 Anthropic 的合作揭示了相当多的潜在漏洞。好消息是,这些漏洞在被利用之前就被修复了;令人担忧的是,我们发现攻击面仍然隐藏着大量弱点,而这些弱点既没有被人工测试检测到,也没有被传统的分析技术发现。
Firefox 150:此次更新修复了 271 个漏洞。
据 Mozilla 首席技术官 Bobby Holley 称,这项工作是……的一部分 与 Anthropic 直接合作 在Glasswing项目中,这家人工智能公司通过其限制性计划允许技术合作伙伴分析关键软件,此次扫描的重点是浏览器的源代码,特别关注渲染引擎、沙箱和进程隔离层等敏感组件。
霍利承认,从历史上看,业内人士一直认为 彻底消除漏洞是不现实的目标。该策略旨在通过纵深防御、沙箱技术以及使用 Rust 等更安全的语言来尽可能地增加攻击难度,但始终承认漏洞终究会出现。Mythos 的大规模发现强化了这一观点,同时也表明攻防平衡可能正在向防御者倾斜。
首席技术官本人指出,如果发现此类故障,那么就会造成严重后果。 2025年,针对高度保护目标发出红色警报因此,据 Mozilla 称,当其他安全团队看到一次性发现的漏洞总数时,他们感到一阵眩晕,这种情况考验着任何组织的反应能力。
从 Opus 到 Mythos:人工智能审计的飞跃
Mozilla 和 Anthropic 的合作并非始于 Mythos。几个月前,该基金会就曾进行过测试。 克劳德作品 4.6Anthropic公司使用另一款先进模型测试了早期版本的浏览器。首次测试修复了Firefox 148中的22个安全漏洞,其中一些漏洞非常严重,即使在当时也被认为是一项了不起的成就。
然而,克劳德·米索斯预览版的到来意味着…… 检测到的漏洞数量规模跃升了约十二倍。Opus 4.6 识别出了几十个漏洞,而 Mythos 则发现了 271 个漏洞,并在内部测试中生成了超过 180 个可利用的漏洞利用程序,证明了这些漏洞的实际可利用性。就审计效率而言,这是一个显著的进步。
Mozilla强调,Anthropico的模型已经取得了成功 表现堪比顶尖人类研究人员他们澄清说,关键不在于它发现了全新的漏洞类型,而在于它能够系统地定位专家也能发现的许多问题,而且所需时间更短,规模也远超人工团队的实际工作能力。
该组织反复强调的一点是: 目前尚未发现任何超出优秀研究人员能力范围的漏洞。这与 Mozilla 的观点一致,Mozilla 认为人工智能不会凭空创造出完全挑战我们当前安全认知的攻击方法;相反,它会增强我们已经能够完成的工作,而且不受时间、疲劳或资源的限制。
对于像 Firefox 这样复杂且模块化的应用程序来说,其设计初衷就是为了让用户能够理解其各个组成部分,因此这种方法是合理的。改变的与其说是错误的性质,不如说是…… 在更短的时间内发现更多东西的能力对于一款作为通往数千种服务和应用程序(包括金融平台、远程办公工具和欧盟在线公共服务)的门户的浏览器来说,这一点至关重要。
从进攻模式到试图取得防守优势
多年来,软件安全一直在朝着一个方向发展 进攻方和防守方之间微妙的平衡现代浏览器的攻击面非常大,用传统工具无法完全覆盖,这使得攻击者获得了不对称优势:他们只需要找到一个位置恰当的漏洞就能达到目的。
Mozilla承认,其战略依赖于以下因素的组合: 纵深防御、严格的沙盒机制以及大量使用Rust 为了最大限度地减少某些类型的错误,需要采用模糊测试等技术,通过向代码输入随机数据来强制出现意外故障。然而,Firefox 团队也承认,仍然存在一些问题。 代码中有些部分更难进行模糊测试。这会造成防护漏洞,而这些漏洞可能会被耐心十足的攻击者利用。
使用像 Claude Mythos 这样的人工智能,为解决这个难题引入了新的元素。与随机测试或人工审核不同,该模型能够…… 分析源代码,识别可疑模式,并提出漏洞利用方案。 这可以证明某个故障是否真的十分严重。这减少了对高度专业化团队的过度依赖,因为这些团队数量稀少,而且无法处理大量需要审查的软件。
对 Mozilla 而言,这打开了通往……的大门。 逐步缩小机器能够检测到的错误与人类专家能够发现的错误之间的差距。如果防御者发现漏洞的成本大幅下降,攻击者过去习惯于花费数月时间寻找单个有利可图的漏洞,而这种结构性优势的一部分就会消失。
霍利承认,一下子看到这么多错误,最初的冲击简直就像一场内心地震,但他坚持认为,最初的冲击过后,感觉是积极的:如果能够优先分配资源,集中精力纠正人工智能揭示的错误, 防守方可以使用相同的武器。也就是说,前提是必须有团队能够吸收大量的研究成果,并将其转化为有效的补丁。
这种强大的安全人工智能的风险:一把明显的双刃剑
尽管 Mozilla 的热情较为温和,但欧洲网络安全领域的许多机构都在密切关注着事态发展。 滥用 Claude Mythos 等工具的可能性同一套能够发现 Firefox 漏洞的系统,如果落入不法分子之手,也可以用来自动发现操作系统、热钱包、去中心化应用程序或关键基础设施服务中的漏洞。
人用制药公司意识到了这种风险,事实上,他们也坚持这样做。 Mythos目前仅可通过Project Glasswing以非常有限的权限获取。包括苹果、微软、谷歌、亚马逊网络服务、Linux基金会以及Mozilla在内的多家大型科技公司都是这一群体成员,它们利用这种模型来审计自身的软件,在某些情况下还会审计战略基础设施。其理念在于严格控制分析的内容和分析的目的。
近期报告显示,在受控测试中,克劳德·米索斯已达到 识别并利用广泛使用的系统中的零日漏洞从浏览器到操作系统,它都能发挥作用。甚至有记录显示,它能够相当自主地执行复杂的网络操作,例如对企业网络进行多阶段入侵模拟。
这些能力不仅引起了企业的兴趣,也引起了…… 政府和情报机构例如,据报道,尽管公众对在战争或监视环境中使用此类工具有所保留,但美国国家安全局甚至在机密网络上运行了 Mythos。
对于欧洲而言,关于……的辩论正在进行中 人工智能监管和数据保护 情况尤其激烈;像 Firefox 和 Mythos 这样的案例为各方提供了论据:一方面,它们表明了管理良好的 AI 在保护数百万用户方面的价值;另一方面,它们也凸显了确保此类模型不会最终助长新一代大规模自动化攻击的必要性。
对开源软件生态系统和欧洲用户的影响
Firefox 在浏览器领域占据着独特的地位。尽管它的市场份额已被 Chromium 及其衍生版本蚕食,但它仍然是…… 在重视自由软件和隐私的环境中,这是一个关键组成部分。就像许多欧洲公共行政部门、学术机构和 GNU/Linux 系统的高级用户一样。
在这种情况下,发现271个漏洞可以从两个方面来解读。一方面,它证实了即使 经过严格审核的开源项目可能会隐藏大量漏洞。原因很简单,代码库非常庞大,人工审查无法覆盖所有部分。另一方面,这也表明开放式开发模式使得包括高级人工智能在内的外部工具更容易检查代码,并为提升代码安全性做出贡献。
Mozilla承认,在Mythos的帮助下,它现在拥有了 为加强安全,还有一长串待办事项。 他们的旗舰应用程序。对于西班牙和欧洲其他地区的最终用户,建议很简单: 保持浏览器更新 为了受益于这些补丁,版本 150 不仅修复了已发现的错误,而且还保持了性能、兼容性和功能(例如沙盒和本地网络权限管理)方面的持续改进。
此外,Firefox 案可以作为先例 其他开源项目 这些工具在企业、公共机构和关键服务部门的日常工作中被广泛使用。诸如网络服务器、加密库和开发框架等广泛部署的工具,都可以从类似的AI驱动审计中受益。这在欧盟尤为重要,因为欧盟关于网络安全和数字韧性的指令正变得日益严格。
正如 Mozilla 自己承认的那样,挑战在于许多此类项目缺乏…… 足够的人力或经济资源来消化研究成果 而像 Mythos 这样的模型就能生成这样的结果。这就需要自由软件基金会和支持开源安全的公共政策来发挥作用了,这个问题在 Log4Shell 等事件发生后已经在布鲁塞尔被提出。
网络安全领域人与人工智能关系的新阶段
除了271个漏洞的轶事之外,Firefox案例还提出了一个问题: 人类研究人员与人工智能之间关系的焦点转变 在网络安全领域,Mozilla 提倡一种模式,即先进工具可以扩展安全团队的能力,但不会取代他们的判断或经验,而不是将两者对立起来。
该组织将克劳德·米索斯描述为一种 不知疲倦的安全研究员能够审查大量代码、提出漏洞利用方案并识别风险模式。与此同时,人工专家仍然负责确定优先级、确认、修正并最终决定哪些更改会被引入到最终产品中。
这种合作愿景对欧洲网络安全市场具有直接影响,因为该市场中的公司和研究中心已经开展相关业务。 他们正在尝试将人工智能应用于代码审计、恶意软件分析或入侵检测。如果 Mozilla 的成果能在其他项目中得到复制,我们或许可以看到对重大故障的反应时间缩短,不堪重负的安全团队的压力至少会得到一定程度的减轻。
与此同时,Anthropologie 和 Mozilla 的经验也清楚地表明了以下方面的重要性: 重新评估用于衡量人工智能模型性能的方法 在安全任务方面,Anthropic公司自身也承认,许多现有的基准测试已经无法充分评估其最新系统的实际性能,因此有必要设计更具挑战性和代表性的测试。
如果说 Mozilla 和 Anthropologie 有什么共识的话,那就是,就目前而言, 人类的判断是无可替代的。 在风险管理领域,人工智能加速并扩展了问题搜索的范围,但决定修复什么、如何修复以及在什么时间表上修复,仍然取决于团队,他们必须权衡安全性、用户影响和可用资源。
种种迹象表明,Firefox 150 的发布,以及其中修复的 Claude Mythos 指出的 271 个漏洞,将被视为一个值得铭记的时刻。 网络安全朝着智能自动化迈出了重要一步。因此,Mozilla 浏览器成为了一个案例研究,展示了如何在不忽视相关风险或需要密切人工监督的情况下,将高级人工智能集成到关键产品的开发和维护生命周期中。对于西班牙和欧洲的用户、开发者和政策制定者而言,这一教训显而易见:人工智能不再仅仅是一个未来概念,而是一种正在重新平衡这场数十年来一直由攻击者主导的战争的工具。
