Anthropic 喺 4 月發佈咗全新 Mythos 模型之際,都向所有開發軟件嘅人士發出嚴正警告。呢個模型喺偵測軟件漏洞方面表現極其強大,實驗室聲稱佢發現咗數千個高嚴重性 bug,喺公開之前都要修復。 Mozilla Firefox 瀏覽器嘅安全研究員而家提供咗更詳細嘅實踐過程,以及 Mythos 能力對整體軟件安全嘅影響。Mozilla 喺星期四發佈嘅文章中指出,Mythos 發掘咗大量高嚴重性 bug,其中某些喺代碼中潛伏咗超過十年。
呢個表現比 6 個月前 AI 安全工具嘅能力大幅提升。至今為止,AI 漏洞偵測工具都有嚴重缺點,往往向安全團隊淹沒低質量報告同假陽性。但 Mozilla 研究員話最新一代工具已經轉型,尤其 agentic 系統可以自我評估同過濾壞結果。「呢個動態喺短短幾個月內對我哋改變咗好多,」研究員寫道。「首先,模型能力大幅提升。其次,我哋大幅改善咗利用呢啲模型嘅技術。」
Mythos 帶來嘅顯著成果
結果相當驚人:喺 2026 年 4 月,Firefox 發佈咗 423 個 bug 修復,相比一年前嘅 31 個大幅增加。研究員亦公開咗 12 個 bug 嘅細節,範圍由兩個罕見 sandbox 漏洞,到瀏覽器解析 HTML 元素嘅 15 年舊錯誤。「呢啲工具突然變得非常出色,」Mozilla 資深工程師 Brian Grinstead 向 TechCrunch 表示。
「我哋喺內部掃描、外部分報告,同行業各類信號中都見到呢點。」 Mythos 幫手揭示 Firefox「sandbox」系統漏洞尤其令人印象深刻,因為攻擊呢個系統需要極其複雜嘅步驟。模型要撰寫 compromised patch,然後用新代碼攻擊軟件最安全部分。發現同演示 bug 係精細、多步驟過程,需要創意同細心注意。為咗對比,Mozilla 嘅 bug bounty 計劃向發現 Firefox sandbox bug 嘅研究員支付最高 US$20,000(約 HK$156,000)獎金——最高
獎勵。儘管有咗呢個高額獎金,Grinstead 話 Mythos 發現嘅 sandbox 問題比人類研究員更多。「我哋都有發現,」佢向 TechCrunch 表示,「但唔及呢個技術嘅數量。」 值得注意,Firefox 團隊仍然未用 AI 直接修復 bug,儘管 AI 編碼工具已有顯著進展。團隊會要求 AI 為每個 bug 撰寫 patch,但產生嘅代碼通常唔能直接部署,而係作為人類工程師嘅參考。
「呢篇文章提及嘅所有 bug,每個都係一名工程師撰寫 patch,一名工程師審核,」Grinstead 話。「我哋未發現可以自動化。」 AI 新興能力將如何改變網絡安全權力平衡仍然不明朗。Mythos 預覽一個月後,大部分發現嘅 bug 可能未修復,難以評估全面影響。Anthropic 嚴格遵守負責任披露規範,但壞人可能喺幕後用類似技術,即使佢哋用嘅模型唔及 Mythos 強大。
Anthropic CEO Dario Amodei 喺近期活動上樂觀表示,新工具最終有利防守者。「如果我哋處理得好,我哋可能處於比起點更好嘅位置,因為我哋修復咗所有呢啲 bug。只有有限 bug 可發現,」Amodei 話。「所以我覺得另一邊有更好世界。」 處理咗細節後,Grinstead 有更審慎看法:「對攻擊者同防守者都有用,但有呢個工具可用,略為傾向防守優勢。
現實上,無人知答案。」
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱