Mozilla 用 Claude Mythos 预览版为 Firefox 修复数百漏洞,月修复量从 20 跃升至 423
Mozilla 借助 Anthropic 的 Claude Mythos 预览版,将 Firefox 安全漏洞月修复量从 20-30 提升至 423。本文详解 AI 辅助漏洞挖掘的技术细节,包括 20 年历史的 XSLT 漏洞和 15 年历史的 legend 元素漏洞,并分析对中文用户的安全影响。
一句话看懂
Mozilla 利用 Claude Mythos 预览版,将 Firefox 安全漏洞月修复量从 20-30 猛增至 423,AI 辅助安全审计进入新阶段。
详细发生了什么
Mozilla 在官方博客中披露,他们通过 Anthropic 提供的 Claude Mythos 预览版,对 Firefox 代码库进行了大规模安全审计。结果令人震惊:2025 年每月仅修复 20-30 个安全漏洞的 Firefox,在 2026 年 4 月一举修复了 423 个漏洞。
Mozilla 团队强调,几个月前 AI 生成的安全报告还被视为“垃圾”——看似正确实则错误的报告给维护者带来巨大负担。但模型能力的快速提升,加上 Mozilla 优化了“驾驭”模型的方法(引导、规模化、堆叠以生成信号并过滤噪音),彻底改变了局面。
报告中还提到了几个经典案例:一个存在 20 年之久的 XSLT 漏洞,以及一个 15 年历史的 <legend> 元素漏洞。值得注意的是,许多 AI 发起的攻击尝试被 Firefox 现有的纵深防御措施成功拦截,这证明了多层防护的价值。
中文圈视角
这件事对中文用户有直接意义。Firefox 在中国仍有相当用户基数,尤其注重隐私的群体。Claude Mythos 是 Anthropic 的旗舰模型,目前国内无法直接访问,但 Mozilla 的做法展示了 AI 辅助安全审计的可行性。
国内浏览器厂商如 360、QQ 浏览器等,如果也想用类似方法审计 Chromium 内核代码,可能需要寻找国产替代模型(如 DeepSeek、Qwen)或通过 API 接入。但关键在于,Mozilla 的成功不仅依赖模型能力,更在于他们开发的“驾驭”技术——如何引导模型、过滤噪音。这套方法论本身可以独立于模型,值得国内安全团队借鉴。
另外,Firefox 的漏洞修复速度提升,意味着中文用户能更快获得安全更新。对于依赖 Firefox 进行敏感操作的用户(如翻墙、隐私浏览),这是一个积极信号。
几条值得记住的细节
- Mozilla 在 2025 年每月修复 20-30 个安全漏洞,2026 年 4 月跃升至 423 个。
- 发现了一个存在 20 年的 XSLT 漏洞和一个 15 年的
<legend>元素漏洞。 - 许多 AI 生成的攻击被 Firefox 现有防御措施拦截,证明纵深防御有效。
- 成功的关键是模型能力提升 + 改进的“驾驭”技术(引导、规模化、堆叠)。
- Claude Mythos 是 Anthropic 的预览模型,目前未公开广泛使用。
一句话总结
Firefox 用 AI 把漏洞修复效率提升了 10 倍以上,你的浏览器可能比昨天更安全了。