Mozilla 近期公布了利用 Anthropic 的 Claude Mythos AI 模型,在 Firefox 浏览器中发现并修复 271 个安全漏洞的详细过程。这些漏洞中有 180 个被评定为“高危”,可能在用户日常浏览网页时被触发。
为应对 AI 在代码分析中可能出现的“幻觉”问题,Mozilla 开发了名为 Agent Harness 的定制化智能体套件。该套件能够向 AI 模型下达具体指令,并提供必要的文件读写和测试用例评估工具,通过循环运行直至任务完成。在具体漏洞排查流程中,套件会锁定特定源文件,由 Claude Mythos 模型自主生成测试用例,如特定的 HTML 代码,并结合现有模糊测试工具进行验证。若触发内存崩溃,则判定为潜在漏洞。为进一步提高准确性,Mozilla 还引入了第二个大模型对首个模型的输出进行评分,仅将高分报告提交给开发者。
这种双重验证机制确保了最终漏洞报告的极低误报率。Mozilla 杰出工程师 Brian Grinstead 表示,此方法为工程师提供了明确的信号,确认问题存在、修复已完成,并且在测试用例入库后不会复现。
Mozilla 此次在 Firefox 浏览器上的安全加固实践,展示了 AI 在软件安全审计领域的潜力,特别是在处理大量代码和复杂漏洞场景时,有望显著提升效率和准确性。