微新创想:近日 Mozilla 工程师在博客中分享了利用 Anthropic 的先进 AI 模型 Claude Mythos 成功排查出 Firefox 浏览器 271 个安全漏洞的幕后故事。根据此前的报道 Mozilla 团队在 Firefox 浏览器的 150 版本中 依靠 Mythos Preview AI 模型发现并修复了这些漏洞
在这 271 个漏洞中 令人关注的是 180 个被评估为 “高危” 意味着用户在正常浏览网页时就可能受到影响 此外还有 80 个中危漏洞和 11 个低危漏洞
为了回应外界对 AI 找 Bug 的质疑 Mozilla 公开了 12 份完整的 Bugzilla 报告 以证明这不是单纯的 AI 炒作 Mozilla 工程师提到 为了克服 AI 在代码分析中常出现的 “幻觉” 现象 开发了一套专门的 Agent Harness 智能体套件
以往 AI 分析代码时会产生大量看似合理但实际上虚构的报告 导致人工审核的成本大大增加 而这次的成功 得益于模型自身能力的提升和这套定制化工具的应用 该套件可以向模型下达具体指令 例如 “在这个文件中找 Bug” 同时提供读写文件和评估测试用例的工具 并循环执行直到任务完成
具体操作中 套件指向特定的源文件 Mythos 会自主生成测试用例 比如特定的 HTML 代码 随后利用现有的模糊测试工具进行测试 如果触发内存崩溃 就可以确认存在漏洞
为了进一步过滤误报 Mozilla 还引入了第二个大型模型 对第一模型的输出进行打分 只有高分的报告才会提交给开发者
Mozilla 的杰出工程师 Brian Grinstead 表示 经过双重验证后 最终生成的漏洞报告几乎没有误报 这为工程师提供了明确的确认信号 问题确实存在 修复工作已经完成 且测试用例入库后不会再复现