Anthropic模型帮Firefox挖漏洞:安全团队终于等到会自查的AI工具
AI 找漏洞这件事过去最烦人的地方,不是找不到,而是太会制造垃圾报告。安全团队收到一堆看似严重、实际没法复现的结果,最后还得人类加班筛。Mozilla 现在说 Anthropic 的 Mythos 在 Firefox 代码里挖出不少高危漏洞,甚至包括沉睡十多年的问题,这说明 AI 安全工具可能真的跨过了一个坎。
变化不只在模型更聪明。更关键的是 agentic 系统开始能评估自己的结果,过滤明显不靠谱的报告。对安全团队来说,误报率就是生死线。一个工具如果每天丢来上百条噪音,再强也会被关掉;如果它能把结果压缩成少量高价值线索,人类才愿意认真看。
漏洞挖掘会变成攻防两边的军备竞赛
Firefox 这种大型老项目代码复杂、历史包袱重,非常适合 AI 安全工具发挥。人类审计很难持续盯住每个角落,模型可以在大量代码里寻找罕见模式、危险组合和旧逻辑里的新风险。它不一定替代安全研究员,但能把搜索范围大幅缩小。
问题是,防守方能用,攻击方也能用。一个能发现高危漏洞的模型,如果落到恶意团队手里,也可能加速漏洞武器化。Anthropic 之前警告模型太强,需要修掉大量漏洞后才能公开,这个担忧并不夸张。
未来软件安全会出现新流程:AI 先扫一遍,AI 自己复核,人类再验证和修补。开源项目、大型浏览器、操作系统、云服务都会采用类似模式。安全团队的人数不会突然变少,但工作重心会从“到处找针”转向“判断哪根针最危险”。
这条新闻也提醒所有写代码的人:AI 生成代码越多,AI 审计代码也会越多。软件行业会进入一种奇怪循环,模型写、模型查、人类兜底。最后真正值钱的,还是能理解系统后果的人。