Anthropic 喺 4 月發佈咗佢嘅新 Mythos 模型時,同時向所有開發軟件嘅人士發出嚴正警告。呢個模型喺偵測軟件漏洞方面極其強大,實驗室聲稱佢發現咗數千個高嚴重性 bug,喺公開之前需要修復。 Mozilla Firefox 瀏覽器嘅安全研究員而家提供咗更詳細嘅實踐過程,以及 Mythos 能力對整體軟件安全嘅意義。Mozilla 喺星期四發佈嘅文章中表示,Mythos 發掘咗大量高嚴重性 bug,包括一啲喺代碼中潛伏超過十年嘅問題。
呢個進步比起僅僅 6 個月前 AI 安全工具嘅能力有顯著提升。
Mythos 帶來嘅 bug 修復革命
至今為止,AI 尋找 bug 嘅工具都有嚴重缺點,往往淹沒安全團隊以低質量報告同假陽性。但 Mozilla 研究員話最新一代工具已經轉捩點,特別係 agentic 系統可以自我評估同過濾壞結果。「很難過分強調呢個動態喺短短幾個月內對我哋嘅改變,」研究員寫道。「首先,模型能力大幅提升。其次,我哋大幅改善咗利用呢啲模型嘅技巧。」 結果令人震驚:喺 2026 年 4 月,Firefox 發佈咗 423 個 bug 修復,相比一年前嘅僅 31 個。
研究員亦公開咗 12 個 bug 嘅細節,範圍由兩個罕見 sandbox 漏洞,到瀏覽器解析 HTML 元素嘅 15 年舊錯誤。「呢啲工具突然間變得非常出色,」Mozilla 資深工程師 Brian Grinstead 向 TechCrunch 表示。「我哋喺內部掃描、外部分報告,同行業各類信號中都見到呢點。」 呢個系統幫手揭示 Firefox「sandbox」系統漏洞尤其令人印象深刻,因為利用佢嘅攻擊極其複雜。
模型必須撰寫 compromised patch,然後用新代碼攻擊軟件最安全部分。發現同演示 bug 係精細、多步驟過程,需要創意同細心。 為咗對比,Mozilla 嘅 bug bounty 計劃向發現 Firefox sandbox bug 嘅研究員支付最高 US$20,000(約 HK$156,000)獎金——最高獎勵。儘管有咗呢個高額獎金,Grinstead 話 Mythos 發現嘅 sandbox 問題比人類研究員更多。
「我哋有收到,但唔及呢個技巧嘅數量,」佢向 TechCrunch 表示。 值得注意,Firefox 團隊仍然唔用 AI 直接修復 bug,儘管 AI 編碼工具已有顯著進展。團隊會要求 AI 為每個 bug 編寫 patch,但產生嘅代碼通常唔能直接部署,而係作為人類工程師嘅參考。「呢篇文章討論嘅每個 bug,都係一個工程師寫 patch 同另一個工程師審核,」Grinstead 話。
「我哋未發現佢可自動化。」 目前仲唔清楚 AI 新興能力會點樣改變網絡安全嘅權力平衡。Mythos 預覽一個月後,大部分發現嘅 bug 可能未修復,難以捕捉全面影響。Anthropic 嚴格遵守負責任披露規範,但壞人可能喺幕後用類似技巧,即使佢哋用嘅模型唔及 Mythos 咁好。 喺最近活動上,Anthropic CEO Dario Amodei 樂觀表示,新工具最終有利防守方。
「如果我哋處理得好,我哋可能處於比起初更好位置,因為我哋修復咗所有呢啲 bug。只有有限 bug 可發現,」Amodei 話。「所以我覺得另一邊有更好世界。」 處理咗細節後,Grinstead 有更審慎看法:「對攻擊同防守都有用,但有工具可用略為移向防守優勢。現實上,無人知答案。」
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱