当Mozilla首席技能官上月宣称，借助AI辅助瑕玷检测，"零日瑕玷的末日已近"，"防护者终于有契机取得决定性获胜"时，外界的质疑声挨三顶五。毕竟，这一幕似曾相识：尽心挑选几个AI的亮眼效果，略去那些可能让图景更为复杂的细节，任由炒作海潮滔滔上前。

恰是相识到外界的这份怀疑，Mozilla于近日发布了一篇深度著作，详备先容了其使用Anthropic Mythos——一款极端用于识别软件瑕玷的AI模子——在两个月内挖掘出Firefox 271个安全瑕玷的幕后历程。Mozilla工程师示意，这次信得过已毕打破的要道成分主要有两点：其一是模子自身才调的扶助，其二是Mozilla极端开荒了一套自界说"器用框架"，为Mythos分析Firefox源代码提供撑合手。

简直零误报

工程师们坦言，此前在AI辅助瑕玷检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子当场会生成看似合理的瑕玷剖析，数目往往极为可不雅。联系词，一朝东谈主工开荒者潜入排查，就会发现其中多半细节均属模子"幻觉"。开荒者不得不从头进入多半元气心灵，用传统方式逐个核实瑕玷剖析。

Mozilla卓绝工程师Brian Grinstead在继承采访时示意，Mozilla与Mythos的和谐之是以卓尔不群，中枢在于引入了智能体框架——一段包裹在大谈话模子外层、合并其实施一系列特定任务的代码。要让这套框架信得过发扬作用，需要进入多半资源，将其针对具体时势的语义、器用链和经由进行深度定制。

Grinstead将团队构建的框架形色为"驱动大谈话模子已毕盘算推算的代码。它向模子下达领导（举例：'找出这个文献中的瑕玷'），提供相应器用（举例允许其读写文献、实施测试用例），然后轮回开动直至任务完成"。该框架让Mythos随机调用Mozilla东谈主工开荒者所使用的全套器用和经由，包括极端用于测试的Firefox特殊构建版块。

他进一步解释谈：

有了这套框架，惟有能界说出明晰且详情的获胜信号或任务考证信号，就不错不断驱动模子合手续责任。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着获胜。咱们将智能体指向某个源文献，告诉它："咱们知谈这个文献里有问题，开云·体育中国官方网站请去找出来。"它会构造测试用例，借助咱们现存的综合测试系统和器用来开动这些测试，并示意："我认为惟有把HTML写成这么就会出问题。"测试用例发送给器用后，器用会给出是或否的判断。要是谜底是折服的，还会进行止境的考证。

这一止境考证神态由第二个大谈话模子承担，慎重对第一个大谈话模子的输出进行评分。高分按捺带给开荒者的置信度，与通过传统方式发现瑕玷所赢得的置信度不相凹凸。

"从最终产出的瑕玷来看，简直莫得误报，"他说谈。

这次幕后流露骨子包括：公开271个瑕玷中的12个完好Bugzilla剖析——这些瑕玷由Mythos发现，Claude Opus 4.6也有部分参与。每份剖析均提供了触发不安全内存情景的测试用例（即相应的HTML或其他代码），且沿路合乎Mozilla将其认定为Firefox安全瑕玷所条目的范例。至少有又名计划东谈主员示意，初步检察这些剖析后，认为其"十分有劝服力"。

Grinstead示意，与此前泛滥的低质料瑕玷流露不同，由框架合并的Mythos分析、经第二个大谈话模子阐发、并最终纳入剖析的详备信息，博亚体育app官方网站带给团队一种前所未有的信心。

"这恰是让咱们随机以现存限制合手续运作的要道，"他说，"它为工程师提供了一个不错径直操作的考证机制，明确文告'是的，这里照实存在问题'，然后你就不错对代码进行迭代，明晰地知谈何时已成就问题，最终将测试用例纳入代码库，确保不会再出现回想。"

如前所述，Mozilla将AI辅助瑕玷发现定性为"游戏功令编削者"的说法，在诸多圈子里遭到了大限制、公开的质疑。品评者领先嘲讽Mozilla莫得为这271个瑕玷请求CVE编号。联系词与很多开荒者一样，Mozilla本就不为里面发现的安全瑕玷请求CVE。这些瑕玷频繁会被打包成一个长入补丁发布。闲居情况下，记载这些"打包成就"骨子的Bugzilla剖析在成就后会瞒哄数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，雷同的品评者例必会宣称这些剖析亦然尽心筛选的，背后瞒哄着更多不准确的按捺。

在Mythos发现的271个瑕玷中，180个被标记为sec-high，即Mozilla里面剖析瑕玷中的最高档别。这类瑕玷可通过闲居的用户行径触发，举例浏览某个网页。（独一更高的级别sec-critical仅用于零日瑕玷。）另有80个被评为sec-moderate，11个为sec-low。

品评者的合手续质疑并非毫无理由理由。炒作是东谈主为拉高AI公司本已虚高估值的习用技能。Mozilla对Mythos不惜溢好意思之词，即就是相对信任的东谈主也未免会念念：Mozilla究竟得到了什么讲述？这次的详备流露非但莫得平妥协论，反而很可能进一步激化争议。

联系词在Grinstead看来，这些细节已是AI辅助瑕玷发现切实可用的有劲讲解，Mozilla的动机也很通俗。

"以前一年充斥着多样低质料提交，环球齐照旧有些困乏了，是以咱们认为有必要展示咱们的责任过程，盛开部分瑕玷剖析，并更详备地加以先容，但愿以此鼓动一些行径，或不断这方面的照顾，"他说，"这里面莫得任何营销主张。咱们团队照旧彻底认同了这套按次。咱们念念传递的是对于这项技能自己的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现瑕玷的中枢打破是什么？

A：Mozilla这次已毕打破的要道有两点：一是Anthropic Mythos模子自身才调的扶助，二是Mozilla极端开荒了自界说"智能体框架"。该框架包裹在大谈话模子外层，为其提供领导和器用，并合并其轮回实施任务，同期允许Mythos调用Mozilla开荒者日常使用的器用链和测试版Firefox，从而大幅减少了误报，已毕了"简直零误报"的效果。

Q2：Mythos发现的271个Firefox瑕玷严重进度若何？

A：在271个瑕玷中，180个被评为sec-high，是Mozilla里面剖析的最高瑕玷级别，可通过用户闲居浏览网页等行径触发；80个为sec-moderate（中等第别）；11个为sec-low（初级别）。这些瑕玷均未单独请求CVE编号，而是按照Mozilla常规打包成长入补丁发布。

Q3：为什么外界对Mozilla的AI瑕玷检测效果合手怀疑派头？

A：品评者认为Mozilla的作念法存在炒作嫌疑：未为瑕玷请求CVE编号、公开的12份剖析可能是尽心筛选的样本博亚(中国)体育app，且Mozilla对Mythos的高度赞叹令东谈主怀疑背后存在利益关系。此外，AI辅助安全检测鸿沟此前存在多半"幻觉"问题，业界对此已有警惕。Mozilla方面则强调无任何营销主张，并示意快意公开更多细节以鼓动行业对话。