Mozilla 在 2026 年 4 月披露,其安全团队借助 Anthropic 的 AI 系统 Mythos 对 Firefox 浏览器源代码进行深度审计,成功发现了 271 个安全缺陷。这一数字远超传统人工代码审计的效率,引发安全社区对 AI 驱动漏洞挖掘的双重思考。值得注意的是,这些缺陷随后被映射到三个 CVE 集合中,其中 CVE-2026-6784 包含 55 个漏洞,CVE-2026-6785 包含 154 个漏洞,CVE-2026-6786 包含 107 个漏洞。这种批量化的漏洞发现机制,标志着 AI 在安全研究领域从辅助工具向主动发现者的角色转变。
Mythos 的漏洞挖掘方法论体现了 AI 代理(Agent)架构在安全测试中的独特优势。据 Anthropic 公开的技术细节,其采用双代理协同模式:第一代理负责生成能够触发特定漏洞类型的测试用例,例如使用 ASan(AddressSanitizer)检测 use-after-free 内存错误;第二代理则对生成的测试用例进行验证,过滤掉大量误报。这种设计显著提升了有效漏洞的发现率,同时将误报率控制在可接受范围内。对于沙箱逃逸类漏洞,第一代理可以直接修改目标代码以构造攻击向量,第二代理则验证该修改是否真正构成安全威胁。这种自动化闭环大幅缩短了从漏洞发现到概念验证的周期。
从防御角度审视,Mythos 的批量发现能力为开源项目提供了前所未有的安全保障窗口。Firefox 作为全球受众最广的开源浏览器之一,其代码库规模庞大且迭代频繁,传统人工审计面临效率瓶颈。Mythos 在不到一周的时间内完成的代码覆盖率,相当于数名资深安全工程师数月的工作量。更重要的是,AI 系统不会疲劳,不会遗漏边界条件,能够在海量代码路径中发现人类容易忽略的逻辑缺陷。Mozilla 官方对此结果保持谨慎乐观,其安全博客指出,Mythos 发现的问题将被纳入正常的补丁发布流程,用户无需过度恐慌,但应及时更新至 Firefox 150 及后续版本以获得完整修复。
然而,安全社区同样关注 AI 漏洞挖掘能力的双刃剑特性。一旦类似 Mythos 的工具被恶意行为者获取,其完全可能转变为自动化漏洞开发平台。攻击者无需具备深厚的二进制分析功底,只需向 AI 系统输入目标软件版本,即可在数小时内获得可利用的漏洞候选。这种能力下放将显著降低漏洞利用的门槛,使网络威胁从专业攻击者向普通威胁行为者扩散。当前已有安全研究人员指出,AI 生成的漏洞利用代码在某些场景下已能够绕过主流安全检测机制,这为防御方敲响警钟。
针对这一趋势,企业安全团队应建立针对性的响应策略。首先,在漏洞情报订阅中优先关注 AI 驱动发现的高危 CVE,即使其原始发现者为防御性质的研究项目,也应假设攻击者可能同步获得信息。其次,强化软件供应链安全,对关键依赖组件实施更严格的版本管理和自动化测试,避免因上游修复滞后而暴露于风险之中。最后,推动红队演练场景纳入 AI 攻击模拟,验证组织在面对自动化漏洞挖掘时的检测与响应能力。浏览器作为互联网的核心入口,其安全性直接影响数十亿用户的隐私与数据安全,Mythos 事件提醒我们,AI 既是守护者,也可能是放大器,关键在于如何引导其能力向防御方倾斜。
资料来源:Wired 报道《Mozilla Used Anthropic's Mythos to Find and Fix 271 Bugs in Firefox》;Mozilla 官方安全公告 MFSA 2026-30 及相关 CVE 披露。