Mozilla 用 Claude Mythos 预览版加固 Firefox:月修 423 个安全漏洞,AI 安全审计质变
Mozilla 利用 Anthropic 的 Claude Mythos 预览版对 Firefox 进行安全审计,2026 年 4 月修复了 423 个安全漏洞,远超此前每月 20-30 个。本文详解 AI 安全审计从“垃圾报告”到“高质量漏洞”的转变,以及中文用户如何受益。
一句话看懂
Mozilla 使用 Claude Mythos 预览版对 Firefox 进行安全审计,2026 年 4 月修复漏洞数从每月 20-30 个飙升至 423 个,AI 安全审计从“垃圾报告”进入“高质量漏洞”时代。
详细发生了什么
Mozilla 在官方博客中详细披露了他们如何利用 Anthropic 的 Claude Mythos 预览版来发现并修复 Firefox 中的数百个安全漏洞。此前,AI 生成的安全漏洞报告在开源项目中名声不佳——它们看起来合理但往往是错误的,给维护者带来不对称的成本:生成报告廉价且容易,但验证和响应却耗时费力。
短短几个月内,情况发生了根本性变化。Mozilla 归因于两个因素:模型能力大幅提升,以及他们改进了“驾驭”模型的技术——包括引导、扩展和堆叠模型,以产生大量信号并过滤噪声。
结果令人震惊:2025 年,Mozilla 每月修复约 20-30 个 Firefox 安全漏洞;2026 年 4 月,这一数字跃升至 423 个。他们还发现了两个历史悠久的 bug:一个存在 20 年的 XSLT 漏洞,以及一个 15 年的 <legend> 元素 bug。值得注意的是,许多攻击尝试被 Firefox 现有的纵深防御措施阻止,这令人安心。
中文圈视角
对中文用户而言,这件事有几点直接关联:
-
浏览器安全无国界:Firefox 是少数在中国可正常访问且无审查的全球主流浏览器之一。这次大规模漏洞修复直接提升了所有 Firefox 用户(包括中文用户)的安全性,尤其是那些依赖 Firefox 访问境外网站的用户。
-
AI 安全审计的国产替代:目前国内类似能力主要来自 DeepSeek 和智谱 GLM 系列。DeepSeek 在代码理解和漏洞发现上已有不错表现,但尚未见到类似 Mozilla 这样大规模、系统化的安全审计案例。如果国内浏览器(如 360、QQ 浏览器)或开源项目(如 OpenHarmony)能借鉴 Mozilla 的“驾驭”技术,可能大幅提升软件安全性。
-
对开发者的启示:中文开发者可以尝试用 Claude(需梯子)或 DeepSeek 对个人项目进行安全审计。Mozilla 的方法论——堆叠模型、过滤噪声——值得学习,但需注意成本:Claude Mythos 预览版可能不公开,而国内模型在复杂漏洞发现上仍有差距。
-
监管与合规:中国对 AI 生成代码的安全审查有严格规定。Mozilla 的做法展示了 AI 辅助安全审计的潜力,但国内项目需确保模型和数据不出境,使用国产模型更合规。
几条值得记住的细节
- Mozilla 2026 年 4 月修复了 423 个安全漏洞,而此前每月仅 20-30 个。
- 发现了一个存在 20 年的 XSLT 漏洞和一个 15 年的
<legend>元素 bug。 - 许多攻击尝试被 Firefox 的纵深防御措施阻止,说明多层防护有效。
- 成功的关键是模型能力提升 + 改进的“驾驭”技术(引导、扩展、堆叠模型)。
- Claude Mythos 是 Anthropic 的预览模型,Mozilla 获得了早期访问权限。
一句话总结
Firefox 用 AI 安全审计月修 423 个漏洞,中文用户可直接受益,国产模型仍需追赶方法论。