Firefox 在 2026 年 4 月发布了 423 个 bug 修复。去年同期是 31 个。

这个对比很扎眼。它不能被简单写成“Anthropic 的 Mythos 一口气帮 Firefox 修了 392 个漏洞”,那是把营销词当漏洞账本。但 Mozilla 研究人员给出的新细节,确实把这件事从广告话术往工程现场推了一大步:Mythos 不只是会生成漂亮报告,它已经在 Firefox 的真实代码里找到了大量高危问题。

更关键的是,Mozilla 已公开 12 个漏洞细节,其中包括少见的 sandbox 问题,以及一个存在约 15 年的 HTML 元素解析错误。

这类信息补强了原先争议里最缺的一块:不是“Anthropic 自称模型很强”,而是“被审计项目的安全团队承认它确实挖到了硬问题”。

发生了什么:Mythos 从宣传页走进了 Firefox 代码库

Anthropic 今年 4 月发布 Mythos 时说,这个模型已经发现数千个高危漏洞。因为影响范围太大,暂时不公开开放,要先给相关项目留下修复窗口。

当时最该警惕的就是数字口径。

“发现漏洞”可以指很多事:

  • 模型生成了可疑报告;
  • 工具命中了潜在 bug;
  • 安全团队复现并确认;
  • 项目方定级为高危;
  • 修复已经合入并发布。

这几层不能混着算。

Mozilla 的披露让事情更清楚了一些。Mythos 在 Firefox 中发现的并非普通代码异味。公开案例涉及 sandbox、HTML 解析等浏览器安全里的硬骨头。浏览器 sandbox 是攻击链里的关键边界,牵涉渲染进程、权限隔离、进程通信。能在这里提出可验证问题,比发现一堆低危告警更有含金量。

一张速读表更直接:

问题目前能确认什么不能偷换成什么
Mythos 是否有效Mozilla 称其发现大量高危漏洞不能说所有 423 个修复都归功于 Mythos
漏洞质量如何已公开 12 个细节,含 sandbox 与 15 年旧问题不能说它已全面替代安全工程师
影响在哪里改变大型项目的漏洞发现节奏不能说浏览器安全从此自动化
风险是什么能力越强,披露窗口越敏感不能把模型开放当成普通 SaaS 上线

一句话:Mythos 的能力比“AI 安全助手”这四个字更硬,但 Anthropic 的数字仍然不能照单全收。

为什么重要:AI 找洞终于碰到了真实工程的墙

过去两年,开源维护者对 AI 安全报告并不陌生,甚至有点烦。

很多报告看起来专业:有漏洞名、有风险描述、有修复建议。问题是不可复现、定级虚高、上下文读错。维护者还得花时间 triage、复现、解释、关闭。AI 没帮忙,反而制造工单噪音。

Firefox 这次不同,差别不只在模型。

Mozilla 研究人员强调,变化来自两端:模型能力更强,调用和筛选方法也改了。后者很重要。AI 漏洞挖掘不是把代码库扔给模型,然后等它吐答案。真正有用的流程往往要串起几件事:

  • 静态分析;
  • 测试用例生成;
  • 崩溃复现;
  • 补丁验证;
  • 人工审查;
  • 漏洞定级与披露节奏控制。

没有这条管线,模型越勤快,团队越崩溃。

这也是 Mythos 值得单独看的一点。它更像一个能反复尝试、检查结论、过滤噪音的代理系统,而不是只给审计员递一页“疑似漏洞清单”的聊天机器人。

利器出鞘,先考验刀法。

古人说“工欲善其事,必先利其器”。但安全行业还有后半句没写出来:器利了,人的流程也得跟上。不然刀快,伤的先是自己。

谁受影响:浏览器团队和大型基础软件最先感到压力

普通 Firefox 用户短期内感知不强。浏览器更新照常推送,漏洞细节也会按披露节奏公开。

真正被改变的是两类人。

一类是浏览器和大型开源基础软件团队。Firefox、Chromium、WebKit 这类项目代码历史长,兼容负担重,攻击面大。十几年前留下的边角逻辑,传统 fuzzing、人工审计、漏洞赏金计划都可能扫不到。Mythos 这类工具的价值,就在于把这些沉在泥里的旧账翻出来。

另一类是研发管理者和安全负责人。

他们别急着把这事理解成“采购一个 AI 安全神器”。更现实的问题是:发现能力上升后,修复产能够不够?

漏洞处理不是发现即结束。后面还有复现、定级、分派、修补、回归测试、发版、公告、CVE 流程。任何一环慢,都会变成积压。

AI 把暗处的问题照亮,不等于把问题消灭。很多团队最缺的不是扫描器,而是能把问题关掉的组织能力。

这话不新鲜。PC 时代有杀毒软件,互联网时代有 WAF 和漏洞扫描器,云时代有 CSPM。每一代安全工具都说自己能“提前发现风险”。最后大家都会撞上同一堵墙:发现只是成本前置,修复才是账单结算。

Mythos 也逃不掉。

我更在意的:这不是模型秀肌肉,而是安全生产线换速

我不太买账的是那种“AI 发现数千高危漏洞”的宏大叙事。数字太好看,反而要拆开看。

漏洞不是 KPI 矿石,不能按吨开采。

一个真正有价值的高危漏洞,需要有上下文、可复现路径、影响范围、利用条件、修复方案。否则它只是一个看上去危险的句子。安全团队最怕的不是没有告警,而是告警太多、真假混在一起、每个都像要命。

但 Mozilla 的案例也说明,不能再用上一代 AI 安全工具的烂体验来否定这一波变化。

如果 Mythos 能持续在 sandbox、解析器、权限边界这类深水区给出可验证结果,那它就不只是“更会写报告”。它开始接近安全筛查员,能把人类专家的注意力引向更值得看的地方。

这会带来一个很现实的分水岭:

  • 有成熟安全流程的团队,会变快;
  • 没有分级、复现、发版纪律的团队,会更乱;
  • 大型开源项目可能受益最大;
  • 小团队未必吃得下这套能力。

这也是 Anthropic 不急着公开 Mythos 的原因之一。能力越强,开放越麻烦。一个能找高危漏洞的模型,落在项目方手里是防守工具,落在攻击者手里就是侦察器。安全工具从来不是纯粹的善物,它看使用者,也看披露窗口。

天下熙熙,皆为利来。AI 安全也一样。厂商要证明模型能力,项目方要修洞,攻击者也会盯着同一批信号。技术一旦提高发现效率,治理和节奏就变成真正的护城河。

接下来不用看口号,看三件事就够了。

第一,Anthropic 会以什么形式开放 Mythos。全量开放、白名单合作、托管审计、只面向关键项目,风险完全不同。

第二,Mozilla 后续披露的漏洞里,有多少能构成高可利用链路。单点 bug 和可串联攻击链,不是一个等级。

第三,Firefox 的收益能不能迁移到其他大型项目。如果只有深度合作才有效,Mythos 更像高端安全实验室工具;如果能进入常规 CI、代码审查和安全 triage,它才会改写软件安全日常。

所以,这件事最准确的读法不是“AI 已经接管漏洞挖掘”,也不是“Anthropic 又在吹”。

更接近现实的说法是:AI 找洞已经越过纸上谈兵,但还没越过工程债。模型负责把旧账翻出来,人类团队负责还账。账本变厚了,才是真压力。