在网络安全领域,漏洞发现一直是一场猫鼠游戏。传统的人工代码审计费时费力,自动化工具又常常漏报误报。然而,Anthropic 的新一代 AI 系统 Mythos 正试图改变这一现状。据 Mozilla 安全团队披露,Mythos 在对 Firefox 浏览器进行系统性扫描后,一次性挖出了数十个高危漏洞,其中多个漏洞的严重程度足以让攻击者远程执行任意代码。
Mythos 究竟是什么?
Anthropic 一直专注于构建可靠、可解释的 AI 系统。Mythos 是其最新推出的安全专用模型,融合了大规模静态代码分析、动态符号执行以及强化学习的优势。与传统基于规则的扫描器不同,Mythos 能够理解代码的语义逻辑,甚至模拟攻击者的思维路径。它可以在数百万行代码中自动定位那些看似无害、实则危险的缺陷——比如边界检查缺失、整数溢出或是竞态条件。
据 TechCrunch 看到的内部报告显示,Mythos 在 Firefox 的渲染引擎和 JavaScript 解释器中发现了 47 个高危漏洞,其中 12 个被标记为“零日级别”。Mozilla 安全工程师表示:“如果这些漏洞被恶意利用,攻击者可以在用户访问一个精心构造的网页时直接控制整个浏览器。” 目前所有漏洞已被修复,并分发至稳定版通道。
AI 漏洞挖掘:从辅助到主导
Mythos 的成功并非偶然。近年来,Google 的 Project Zero、微软的 Security Response Center 等团队已经开始尝试用机器学习增强漏洞发现能力。但像 Mythos 这样完全由 AI 主导、且产出如此密集高质量漏洞的案例,尚属首次。Anthropic 称,Mythos 的训练数据涵盖了过去十年公开的所有 CVE 漏洞报告以及百万级真实代码库,使其具备了“跨语言、跨平台”的泛化能力。
“这不仅仅是工具上的进步,更是方法论的革命。”—— 独立安全研究员 Katie Moussouris
编者按:Mythos 的表现让我们不得不重新思考安全领域的“人机协作”。过去,安全研究员凭借经验和直觉寻找漏洞,而 AI 提供的仅是辅助。现在,AI 已经能够独立发现人类专家难以察觉的深层缺陷。这并不意味着人类将被取代,而是意味着安全团队可以将更多精力投入到漏洞利用原语分析、防护策略设计和应急响应等更高层级的任务中。
Firefox 的“幸运”与挑战
Mozilla 能够主动邀请 Mythos 进行审计,体现了其开放和安全优先的决心。毕竟,Firefox 作为全球第二大桌面浏览器,代码规模已超过 3000 万行,维护难度极高。相比之下,Chromium 阵营也拥有自家的 AI 安全工具(如 Google 的 FindIt),但闭源生态下的透明度往往不足。Mythos 的这次“实战演习”为开源项目树立了一个样板:主动拥抱 AI 审计,才能提前堵住漏洞。
但故事的另一面是,攻击者同样可以部署类似的 AI 系统。一旦 Mythos 的技术细节被逆向或开源,黑产团伙可能利用它快速发现尚未修复的零日漏洞。因此,Anthropic 目前仅向受信任的合作伙伴开放 Mythos,并且设置了严格的访问审计。安全社区的共识是:AI 盾牌必须先于 AI 矛头。
未来展望
Mythos 在 Firefox 上的成功将激励更多浏览器厂商和操作系统开发者引入 AI 漏洞挖掘。Anthropic 已宣布计划在 2026 年下半年将 Mythos 的能力扩展到 Linux 内核和 Android 框架。届时,AI 安全助手或将成为每个开发工具链的标准组件。
正如 Mozilla CTO 所说:“我们欢迎任何能帮助用户更安全地上网的技术。Mythos 证明了 AI 可以成为我们的盟友,而不是敌人。” 或许,我们正站在一个新时代的起点——AI not only writes code, but also secures it.
本文编译自 TechCrunch
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接