2026 年 4 月,Mozilla 宣布其安全团队利用 Claude Mythos Preview 在 Firefox 150 中修复了 271 个安全漏洞,这一数字远超传统安全审计的产出。这些漏洞涵盖从 15 年历史的 HTML 元素缺陷到复杂的沙箱逃逸技术,标志着 AI 辅助安全分析从概念验证进入生产部署阶段。与此前聚焦于 Mythos fuzzer 被动漏洞发现的报道不同,本文深入解析 Mozilla 构建的完整工程化工作流,为组织构建类似能力提供可落地的参数与实践指南。
代理架构:从实验到规模化
Mozilla 的安全加固管道并非一蹴而就,而是经历了多次迭代演进。团队最初使用 Claude Opus 4.6 进行小规模实验,专注于沙箱逃逸漏洞的发现。即使是这个相对早期的模型,已经展现出对多进程浏览器引擎代码中复杂漏洞的识别能力。关键经验在于:初始提示词可以非常简单 —— 类似于「这段代码存在漏洞,请找出并构建测试用例」。通过在终端中实时观察执行过程,团队能够快速调整提示词和逻辑逻辑。
当实验验证有效后,团队将任务并行化到多个临时虚拟机。每个虚拟机被分配特定的目标文件,专注于在该文件范围内寻找漏洞。发现结果写入存储桶,随后进入涵盖去重、分类定级和补丁管理的完整安全漏洞生命周期。这种架构的核心优势在于:发现子系统与具体项目解耦 —— 虽然代理框架可以在不同项目间复用,但完整的漏洞处理流程必须根据每个代码库的语义、工具链和流程定制。
工程师 Brian Grinstead 描述了核心要求:「只要有明确定义的成功条件来验证,这个管道在过滤误报方面非常可靠。内存损坏问题尤其容易验证:要么触发 AddressSanitizer,要么没有触发(这种情况下告诉代理继续工作直到触发为止)。」这揭示了 AI 安全管道成功的关键 —— 必须有可重复的验证机制,而非仅依赖模型的主观判断。
验证策略:控制误报在可接受范围
大规模 AI 安全分析面临的核心挑战是误报率。早期的 LLM 代码审计实验(使用 GPT-4 或 Sonnet 3.5)显示了相当的潜力,但高误报率使其难以规模化。Mozilla 采取的策略是围绕确定性检查构建验证层,特别是利用 AddressSanitizer(ASan)作为内存损坏问题的客观验证标准。
实际运行数据显示了这一策略的有效性:团队在整个项目中遇到的误报总数不到 15 个。典型的误报源于代理为触发漏洞而改变了某些前提条件,例如启用测试偏好或使用私有 API。每当识别到误报,团队更新管道配置以防止类似问题再次发生。这种反馈循环确保管道随着时间推移不断优化。
对于需要代理修改 Firefox 源代码来构造沙箱逃逸的概念验证,团队实施了严格的隔离控制。所有源代码修改仅用于生成漏洞报告,从不进入上游 Firefox 源代码,也不在漏洞跟踪器之外发布。扫描完全在隔离的虚拟机中进行,虚拟机持有 Firefox 开源代码的本地副本,没有发布更改的能力。分析完成后,任何发现写入内部数据库,虚拟机随即销毁。这种 containment 设计使得在不妨碍安全研究的情况下进行激进的安全测试成为可能。
漏洞分类:复杂性与影响评估
271 个漏洞的分布反映了现代浏览器攻击面的复杂性。在 Firefox 150 中:180 个 sec-high 级别、80 个 sec-moderate 级别、11 个 sec-low 级别。值得注意的是,相当数量的漏洞属于沙箱逃逸类别,需要与其他漏洞链式使用才能实现完整的 Firefox compromise。
Mozilla 披露的部分代表性漏洞揭示了 AI 代理发现的漏洞类型深度:Bug 2024437 是一个存在于 HTML legend 元素中 15 年的漏洞,需要精心编排跨浏览器偏远部分的边缘情况,包括递归栈深度限制、expando 属性和循环收集。Bug 2021894 可靠地利用 IPC 上的竞态条件,允许被入侵的内容进程操纵父进程中的 IndexedDB 引用计数以触发 use-after-free 并实现潜在沙箱逃逸。Bug 2025977 是 20 年的 XSLT 漏洞,其中递归的 key () 调用导致哈希表重新哈希,在原始条目指针仍在使用时释放其后备存储。
这些漏洞的共同特点是:需要跨多个子系统进行复杂推理,涉及精确的时序或状态条件,且在传统模糊测试中难以触发。AI 代理的优势在于能够模拟这种多步骤推理 —— 创建精确的测试用例来触发在真实攻击场景中才会出现的边缘条件。
防御验证:架构决策的回报
代理系统无法绕过的漏洞与成功发现的漏洞同样具有启发性。近年来,安全研究人员多次通过在特权父进程中触发原型污染来成功逃逸进程沙箱。Mozilla 没有逐个修复这些具体问题,而是进行了架构层面的更改,默认冻结这些原型。在审计代理的运行日志时,团队观察到大量试图走这条逃逸路线的尝试,但都被这一设计决策所阻止。
Mozilla 首席技术官 Bobby Holley 评价道:「对于一个加固目标,在 2025 年仅一个此类漏洞就会触发红色警报,这么多同时出现让人不禁怀疑是否能够跟上。」但他补充道:「我们的工作尚未完成,但我们已经度过了转折点,可以看到一个比勉强跟上好得多的未来。防御者终于有机会获胜,而且是决定性地获胜。」
这种主动架构加固的思路与 AI 代理的结合代表了安全工程的范式转变:不是等待漏洞被发现后再修复,而是通过设计层面的防御使特定类别的攻击在根本上不可行。
工程化参数与监控要点
基于 Mozilla 的实践经验,以下参数和监控点可作为构建类似系统的参考。管道基础设施层面,建议使用 ephemeral VM 进行隔离扫描,每个 VM 分配特定文件或模块作为扫描目标;验证阶段必须集成 AddressSanitizer 等确定性工具作为客观判据;误报率目标应控制在每百个发现少于 5 个,并通过持续反馈循环优化。
补丁管理工作流需要处理突发的大批量漏洞。Mozilla 在此次行动中动员了超过 100 人参与代码贡献,涉及编写和审查补丁、构建和扩展管道、定影修复、测试以及管理每个漏洞的发布流程。建议在管道设计阶段即考虑与现有安全漏洞管理系统的集成能力。
持续集成方面,Mozilla 计划将分析集成到 CI 系统中,对正在合并的补丁进行扫描。这意味着从基于文件的扫描转向基于补丁的扫描,模型需要适应不同的上下文形式。团队预期基于补丁的扫描效果相当或更好,因为模型可以直接看到代码变更的意图。
实践建议
对于希望开始类似工作的团队,Mozilla 的建议是从简单的提示词开始并快速迭代。可以参考其最初使用的方法:给代理一个存在漏洞的代码区域,请其找出漏洞并构建测试用例。通过观察执行结果来调整提示词,逐步增加编排和工具层来优化和扩展管道。
当前时刻既是危险的 ——AI 能力同样可被攻击者利用 —— 也是充满机遇的。Mozilla 的经验表明,当代理与适当的验证、隔离和补丁管理流程结合时,能够产生前所未有的安全发现规模。对于防御者而言,关键在于建立正确的工程基础设施,使 AI 能力转化为可防御的优势。
资料来源:
- Mozilla Hacks: Behind the Scenes Hardening Firefox with Claude Mythos Preview
- Help Net Security: What Mozilla learned running an AI security bug hunting pipeline on Firefox
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。