本月初,Anthropic宣布其Mythos Preview模型在发现网络安全漏洞方面表现出色,以至于公司决定将其初始发布范围限定在"少数关键行业合作伙伴"之中。此后,围绕该模型究竟是开启了AI辅助黑客攻击新纪元的先兆,还是仅仅是Anthropic为一次相对普通的AI能力进步制造的噱头,各方争论持续不断。
周二,Mozilla为这场争论补充了一项重要数据。Mozilla在一篇博客文章中写道,提前获得Mythos Preview的使用权,帮助其在本周发布的Firefox 150版本上线之前,预先识别出了271个安全漏洞。这一结果的意义重大,让Firefox首席技术官Bobby Holley不禁感慨,在网络攻击者与防御者之间这场永无止境的博弈中,"防御者终于有机会获得决定性的胜利"。
"我们已经跨越了拐点"
Holley并未详细说明Mythos所检测到的数百个漏洞的严重程度。据报道,Mythos仅通过分析Firefox最新版本尚未发布的源代码,便完成了上述漏洞的识别工作。作为对比,他指出Anthropic的Opus 4.6模型在上个月分析Firefox 148时,仅发现了22个与安全相关的缺陷。
Holley在文章中写道,Mythos识别出的漏洞,原本也可以通过自动化"模糊测试"技术,或者由"顶尖安全研究员"逐步推理浏览器复杂源代码的方式来发现。但使用Mythos,在许多情况下消除了"集中数月高昂人力成本只为找到单个缺陷"的必要性。
Holley写道,通过如此高效地识别漏洞,Mythos等AI工具使网络安全的天平向防御方倾斜——当发现漏洞对双方而言都变得更加容易时,防御方将从中获益。"几个月前,计算机完全无法完成这项工作,而如今它们已经在这方面表现卓越,"Holley写道,"我们在分析全球顶尖安全研究员成果方面积累了多年经验,而Mythos Preview完全具备同等水准的能力。"
在接受《连线》杂志采访时,Holley表示,从现在起,这类AI辅助漏洞分析是"每款软件都必须面对的问题,因为每款软件的表面之下都潜藏着大量缺陷,而这些缺陷如今已变得可以被发现"。尽管未来可能出现比Mythos更先进的模型,能够找到当前模型遗漏的漏洞,但Holley表示,他有信心认为"至少在Firefox这一侧,凭借此前积累的先发优势,我们已经跨越了拐点"。
经历AI辅助防御的全面检验,对于支撑现代互联网大部分基础设施的开源项目而言,可能尤为重要。这是因为这些项目公开的代码库更容易被AI系统扫描以发现漏洞,同时许多此类项目在安全维护方面严重依赖志愿者,资源十分匮乏。
Mozilla首席技术官Raffi Krikorian上周在《纽约时报》发表的一篇文章中指出,人类在发现漏洞和编写复杂软件两方面的局限性,在网络威胁研究领域造就了一种微妙的平衡,而Mythos可能彻底打破这一平衡。Krikorian写道:"那位将人生20年奉献给维护开源代码的程序员——这些代码运行在数十亿人使用的产品内部——他还没有使用Mythos的机会。但他应该拥有这个机会。"
Q&A
Q1:Mythos Preview模型发现Firefox漏洞的数量,和之前的AI模型相比差距有多大?
A:Mythos Preview在分析Firefox 150未发布的源代码时,识别出了271个安全漏洞。而Anthropic此前的Opus 4.6模型在分析Firefox 148时,仅发现了22个安全相关缺陷。两者相比,Mythos Preview的漏洞发现数量约是Opus 4.6的12倍,提升幅度相当显著,这也是Mozilla认为AI辅助安全防御能力出现重大跃升的重要依据。
Q2:Mythos发现的漏洞,用传统方法也能找到吗?
A:可以,但成本极高。传统方式要么依赖自动化"模糊测试"技术,要么需要顶尖安全研究员逐行推理复杂的源代码。Firefox CTO Bobby Holley指出,在许多情况下,人工方式意味着需要"集中数月高昂人力成本才能找到单个缺陷"。而Mythos大幅压缩了这一过程,使漏洞发现变得更高效、成本更低。
Q3:AI辅助漏洞检测对开源软件项目来说意味着什么?
A:开源项目面临双重挑战:一方面,其公开的代码库更容易被AI系统扫描发现潜在漏洞;另一方面,许多开源项目长期依赖资源不足的志愿者维护安全。Mozilla CTO Raffi Krikorian指出,像Mythos这样的工具可能打破现有的网络威胁研究平衡,他呼吁那些长期维护开源代码的开发者也应获得使用Mythos的机会。
热门跟贴