Mozilla用代理式AI发现271个Firefox漏洞

关键信息

Mozilla表示，关键区别在于让模型自己编写并运行测试用例，这过滤掉了早期只读式AI方法中大量误报。团队还发现了一些存在15到20年的老问题，并确认包括沙箱和 RLBox 在内的现有防护，对 Prototype Pollution 等攻击仍然有效。

资讯摘要

Mozilla开发者在 Mozilla Hacks 博客中详细介绍了这项工作，说明 Claude Mythos Preview 如何帮助发现并修复 Firefox 150 中271个此前未知的安全漏洞。4月成为Firefox安全修复的纪录月份，总共解决了423个问题，而3月只有76个。Mozilla表示，这423个问题中，271个直接来自 Claude Mythos Preview，而其余111个内部发现的问题里，大约三分之一也来自 Mythos 的运行结果。剩下的问题则来自同一流水线中的其他模型，以及模糊测试等传统方法；外部报告只占41个。

Mozilla指出，早期AI漏洞挖掘之所以不理想，主要是因为误报太多，尤其是只让模型阅读代码并猜测潜在缺陷时。新的方法之所以有效，是因为AI可以自己生成并执行测试，用实际验证来判断某个可疑问题是否真实存在。Mozilla最初在人工监督下小规模使用 Claude Opus 4.6，随后把流程扩展到多个虚拟机上并行检查单个文件。团队还搭建了配套基础设施，用于去重报告、优先级排序，以及跟踪修复直到发布，并计划把这套流水线用于在代码提交前自动检查新代码。

来源与参考

1. 原始链接
2. Mozilla's agentic AI pipeline turns Claude Mythos Preview loose and finds 271 unknown Firefox vulnerabilities