当Mozilla首席时候官上月宣称，借助AI赞成弱点检测，"零日弱点的末日已近"，"防患者终于有契机取得决定性得手"时，外界的质疑声车水马龙。毕竟，这一幕似曾透露：尽心挑选几个AI的亮眼后果，略去那些可能让图景更为复杂的细节，任由炒作波涛滔滔上前。

恰是意志到外界的这份怀疑，Mozilla于近日发布了一篇深度著作，属目先容了其使用Anthropic Mythos——一款专诚用于识别软件弱点的AI模子——在两个月内挖掘出Firefox 271个安全弱点的幕后历程。Mozilla工程师示意，这次确实竣事轻佻的关节身分主要有两点：其一是模子自身智商的升迁，其二是Mozilla专诚开荒了一套自界说"器具框架"，为Mythos分析Firefox源代码提供复旧。

简直零误报

工程师们坦言，此前在AI赞成弱点检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子当场会生成看似合理的弱点文牍，数目常常极为可不雅。研究词，一朝东谈主工开荒者长远排查，就会发现其中大批细节均属模子"幻觉"。开荒者不得不再行插足大批元气心灵，用传统形态一一核实弱点文牍。

Mozilla凸起工程师Brian Grinstead在禁受采访时示意，Mozilla与Mythos的配合之是以名满世界，中枢在于引入了智能体框架——一段包裹在谎言语模子外层、相通其本质一系列特定任务的代码。要让这套框架确实施展作用，需要插足大批资源，将其针对具体容貌的语义、器具链和经由进行深度定制。

Grinstead将团队构建的框架样式为"驱动谎言语模子竣事方针的代码。它向模子下达领导（举例：'找出这个文献中的弱点'），提供相应器具（举例允许其读写文献、本质测试用例），然后轮回开动直至任务完成"。该框架让Mythos概况调用Mozilla东谈主工开荒者所使用的全套器具和经由，包括专诚用于测试的Firefox特殊构建版块。

他进一步解释谈：

有了这套框架，只好能界说出明晰且细意见收效信号或任务考证信号，就不错不休驱动模子执续责任。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着收效。咱们将智能体指向某个源文献，告诉它："咱们知谈这个文献里有问题，请去找出来。"它会构造测试用例，借助咱们现存的暧昧测试系统和器具来开动这些测试，并示意："我认为只好把HTML写成这么就会出问题。"测试用例发送给器具后，器具会给出是或否的判断。若是谜底是服气的，还会进行极端的考证。

这一极端考证设施由第二个谎言语模子承担，厚爱对第一个谎言语模子的输出进行评分。高分摈弃带给开荒者的置信度，与通过传统形态发现弱点所取得的置信度不相荆棘。

"从最终产出的弱点来看，简直莫得误报，"他说谈。

这次幕后裸露本色包括：公开271个弱点中的12个好意思满Bugzilla文牍——这些弱点由Mythos发现，Claude Opus 4.6也有部分参与。每份文牍均提供了触发不安全内存现象的测试用例（即相应的HTML或其他代码），且一起适应Mozilla将其认定为Firefox安全弱点所条款的圭臬。至少有别称研究东谈主员示意，初步稽察这些文牍后，认为其"非常有劝服力"。

Grinstead示意，与此前泛滥的低质地弱点裸露不同，由框架相通的Mythos分析、经第二个谎言语模子阐明、并最终纳入文牍的属目信息，赌钱娱乐平台带给团队一种前所未有的信心。

"这恰是让咱们概况以现存边界执续运作的关节，"他说，"它为工程师提供了一个不错径直操作的考证机制，明确奉告'是的，这里确乎存在问题'，然后你就不错对代码进行迭代，明晰地知谈何时已建立问题，最终将测试用例纳入代码库，确保不会再出现细腻。"

如前所述，Mozilla将AI赞成弱点发现定性为"游戏次序篡改者"的说法，在诸多圈子里遭到了大边界、公开的质疑。月旦者泉源嘲讽Mozilla莫得为这271个弱点央求CVE编号。研究词与很多开荒者一样，Mozilla本就不为里面发现的安全弱点央求CVE。这些弱点常常会被打包成一个合资补丁发布。平淡情况下，纪录这些"打包建立"本色的Bugzilla文牍在建立后会荫藏数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，一样的月旦者例必会宣称这些文牍亦然尽心筛选的，背后荫藏着更多不准确的摈弃。

在Mythos发现的271个弱点中，180个被标志为sec-high，即Mozilla里面文牍弱点中的最高等别。这类弱点可通过平淡的用户手脚触发，举例浏览某个网页。（唯独更高的级别sec-critical仅用于零日弱点。）另有80个被评为sec-moderate，11个为sec-low。

月旦者的执续质疑并非毫无原理。炒作是东谈主为拉高AI公司本已虚高估值的习用技能。Mozilla对Mythos不惜溢好意思之词，即即是相对信任的东谈主也未免会念念：Mozilla究竟得到了什么答复？这次的属目裸露非但莫得平妥协论，反而很可能进一步激化争议。

研究词在Grinstead看来，这些细节已是AI赞成弱点发现切实可用的有劲解释，Mozilla的动机也很浮浅。

"往日一年充斥着多样低质地提交，群众齐也曾有些疲顿了，是以咱们认为有必要展示咱们的责任过程，敞开部分弱点文牍，并更属目地加以先容，但愿以此鼓励一些行动，或持续这方面的接洽，"他说，"这里面莫得任何营销意见。咱们团队也曾充足认同了这套措施。咱们念念传递的是对于这项时候自身的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现弱点的中枢轻佻是什么？

A：Mozilla这次竣事轻佻的关节有两点：一是Anthropic Mythos模子自身智商的升迁，二是Mozilla专诚开荒了自界说"智能体框架"。该框架包裹在谎言语模子外层，为其提供领导和器具，并相通其轮回本质任务，同期允许Mythos调用Mozilla开荒者日常使用的器具链和测试版Firefox，从而大幅减少了误报，竣事了"简直零误报"的效果。

Q2：Mythos发现的271个Firefox弱点严重进度何如？

A：在271个弱点中，180个被评为sec-high，是Mozilla里面文牍的最高弱点级别，可通过用户平淡浏览网页等手脚触发；80个为sec-moderate（中品级别）；11个为sec-low（初级别）。这些弱点均未单独央求CVE编号，而是按照Mozilla常规打包成合资补丁发布。

Q3：为什么外界对Mozilla的AI弱点检测后果执怀疑作风？

A：月旦者认为Mozilla的作念法存在炒作嫌疑：未为弱点央求CVE编号、公开的12份文牍可能是尽心筛选的样本，且Mozilla对Mythos的高度颂扬令东谈主怀疑背后存在利益相关。此外，AI赞成安全检测领域此前存在大批"幻觉"问题澳门在线(赌钱)娱乐网，业界对此已有警惕。Mozilla方面则强调无任何营销意见，并示意激昂公开更多细节以鼓励行业对话。