Anthropic 给 Mozilla 用了一个月,Firefox 里挖出 271 个漏洞
Anthropic 把最新的安全专用模型 Mythos Preview 提前开放给了 Mozilla。一个月内,模型在 Firefox 150 里挖出 271 个漏洞,其中 180 个被评为 sec-high。Mozilla 在 2026 年 4 月一共发了 423 个安全修复,比人类团队过去 18 个月加起来的还多。
但说白了,重点不是模型,重点是 Mozilla 在模型外面套的那层 agent harness。之前用 GPT-4 和 Sonnet 3.5 试过,全是 false positive,因为模型只能静态读代码。这次 harness 给模型塞了一套工具:让它自己写测试用例、起一个一次性虚拟机、跑测试、看会不会崩。提出假设-验证假设的循环,并行扫整个代码库,接进 Mozilla 已有的 fuzzing 流水线。
Mythos 本身不卖。Anthropic 决定不公开放出,因为这个模型能自主发现并利用 0day,规模是之前模型做不到的。分发走一个叫 Project Glasswing 的闭门项目,名单上是 AWS、苹果、Cisco、CrowdStrike、Google、JPMorgan、Linux 基金会、微软、英伟达、Palo Alto Networks。防御方先用上。
做软件的看到这条都该不舒服。Mythos 级别的模型加上动态测试 harness 一旦对准你家代码,传统静态分析工具基本就废了。Mozilla 把 harness 的写法放在了 hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/,趁你竞争对手还没看,赶紧读。
← 返回所有文章
但说白了,重点不是模型,重点是 Mozilla 在模型外面套的那层 agent harness。之前用 GPT-4 和 Sonnet 3.5 试过,全是 false positive,因为模型只能静态读代码。这次 harness 给模型塞了一套工具:让它自己写测试用例、起一个一次性虚拟机、跑测试、看会不会崩。提出假设-验证假设的循环,并行扫整个代码库,接进 Mozilla 已有的 fuzzing 流水线。
Mythos 本身不卖。Anthropic 决定不公开放出,因为这个模型能自主发现并利用 0day,规模是之前模型做不到的。分发走一个叫 Project Glasswing 的闭门项目,名单上是 AWS、苹果、Cisco、CrowdStrike、Google、JPMorgan、Linux 基金会、微软、英伟达、Palo Alto Networks。防御方先用上。
做软件的看到这条都该不舒服。Mythos 级别的模型加上动态测试 harness 一旦对准你家代码,传统静态分析工具基本就废了。Mozilla 把 harness 的写法放在了 hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/,趁你竞争对手还没看,赶紧读。
评论