271个漏洞。这是Anthropic旗下Mythos模型在Firefox未发布代码中发现的关键安全缺陷数量——较其前代模型Opus 4.6的22个漏洞提升了12倍。
这一数据周二由Mozilla在官方博客中公布,标志着AI安全模型首次在大型真实代码库上展示了规模化生产效能。Mythos Preview在Firefox 150中识别出271个安全漏洞,而上月Anthropic的Opus 4.6审查Firefox 148时仅发现22个。从两打发现到近三百个,这个跨越不是增量进步,而是自动化漏洞发现能力的阶跃式跃升。
Firefox首席技术官Bobby Holley措辞直白:「防御者终于有机会赢得决定性胜利了。」他将这一结果定位为网络攻防长期失衡的拐点。网络安全领域的传统逻辑残酷而清晰:防御者必须发现并修复每一个漏洞,而攻击者只需利用其中一个。能够规模化漏洞发现的AI正在改变这一天平。
然而Firefox团队的自身评估更为审慎。他们警告,AI不会立即改变网络安全,游戏开发者将在技术演进中经历艰难的过渡期。攻防双方都在学习使用越来越强大的AI工具。这场竞赛没有结束——它正在进入一个结果难料的新阶段。
这项案例研究的影响远超Firefox本身。Mozilla代码库规模庞大,由全球分布式团队维护,长期是国家级黑客组织和犯罪团伙的目标。如果Mythos能在这样的环境中发现数百个此前未被检测到的漏洞,那么对全球软件供应链的影响将是深远的。从银行基础设施到关键公共服务,每个主要平台都运行着存在类似盲点的代码。
乐观与审慎之间的辩论反映了AI在安全领域长期轨迹的真实不确定性。如果防御者获得AI驱动的漏洞狩猎能力,攻击者同样可以。发现271个Firefox漏洞的同等模型能力理论上也能帮助对手识别零日漏洞。Anthropic决定将Mythos Preview限制向「关键行业合作伙伴」开放,正是出于这种双重用途风险的考量。开放获取可能同时加速防御和攻击应用。
Mozilla数据实际展示的较炒作更为具体但更有价值:AI安全模型现在可以在生产代码库中规模化运作。过渡期将是不均衡的,双重用途风险真实存在。但首次有了具体证据表明,防御者拥有了能够匹配现代网络攻击速度和范围的工具。问题不再是AI是否会重塑安全——而是这种重塑是否有利于行动最快的一方。