当Mozilla首席时期官上月宣称，借助AI赞助缝隙检测，"零日缝隙的末日已近"，"防患者终于有契机取得决定性顺利"时，外界的质疑声绵绵继续。毕竟，这一幕似曾看法：用心挑选几个AI的亮眼效果，略去那些可能让图景更为复杂的细节，任由炒作波浪滔滔上前。

恰是意志到外界的这份怀疑，Mozilla于近日发布了一篇深度著作，详备先容了其使用Anthropic Mythos——一款挑升用于识别软件缝隙的AI模子——在两个月内挖掘出Firefox 271个安全缝隙的幕后历程。Mozilla工程师暗示，这次确实已毕摧残的枢纽身分主要有两点：其一是模子自身体干的进步，其二是Mozilla挑升开荒了一套自界说"器具框架"，为Mythos分析Firefox源代码提供支握。

险些零误报

工程师们坦言，此前在AI赞助缝隙检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子立时会生成看似合理的缝隙讲述，数目时常极为可不雅。可是，一朝东说念主工开荒者深切排查，就会发现其中大齐细节均属模子"幻觉"。开荒者不得不从头插足大齐元气心灵，用传统神气逐个核实缝隙讲述。

Mozilla凸起工程师Brian Grinstead在接纳采访时暗示，Mozilla与Mythos的合营之是以出类拔萃，中枢在于引入了智能体框架——一段包裹在大谈话模子外层、联接其施行一系列特定任务的代码。要让这套框架确实看法作用，需要插足大齐资源，将其针对具体技俩的语义、器具链和历程进行深度定制。

Grinstead将团队构建的框架描写为"驱动大谈话模子已毕蓄意的代码。它向模子下达教唆（举例：'找出这个文献中的缝隙'），提供相应器具（举例允许其读写文献、施行测试用例），然后轮回启动直至任务完成"。该框架让Mythos大约调用Mozilla东说念主工开荒者所使用的全套器具和历程，包括挑升用于测试的Firefox特殊构建版块。

他进一步解释说念：

有了这套框架，唯有能界说出明晰且坚信的成效信号或任务考证信号，就不错束缚驱动模子握续责任。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着成效。咱们将智能体指向某个源文献，告诉它："咱们知说念这个文献里有问题，亚搏app2026世界杯中国官网注册登录请去找出来。"它会构造测试用例，借助咱们现存的空泛测试系统和器具来启动这些测试，并暗示："我认为唯有把HTML写成这么就会出问题。"测试用例发送给器具后，器具会给出是或否的判断。要是谜底是坚信的，还会进行特殊的考证。

这一特殊考证措施由第二个大谈话模子承担，矜重对第一个大谈话模子的输出进行评分。高分狂放带给开荒者的置信度，与通过传统神气发现缝隙所得到的置信度不相高下。

"从最终产出的缝隙来看，险些莫得误报，"他说说念。

这次幕后露馅实质包括：公开271个缝隙中的12个完满Bugzilla讲述——这些缝隙由Mythos发现，Claude Opus 4.6也有部分参与。每份讲述均提供了触发不安全内存情景的测试用例（即相应的HTML或其他代码），且一说念合适Mozilla将其认定为Firefox安全缝隙所条件的程序。至少有别称接头东说念主员暗示，初步搜检这些讲述后，认为其"相称有劝服力"。

Grinstead暗示，与此前泛滥的低质料缝隙露馅不同，由框架联接的Mythos分析、经第二个大谈话模子证实、并最终纳入讲述的详备信息，AG真人(中国)官方IOS|Android手机app下载带给团队一种前所未有的信心。

"这恰是让咱们大约以现存限度握续运作的枢纽，"他说，"它为工程师提供了一个不错平直操作的考证机制，明确见知'是的，这里如实存在问题'，然后你就不错对代码进行迭代，明晰地知说念何时已诞生问题，最终将测试用例纳入代码库，确保不会再出现追忆。"

如前所述，Mozilla将AI赞助缝隙发现定性为"游戏法例更正者"的说法，在诸多圈子里遭到了大限度、公开的质疑。品评者最先嘲讽Mozilla莫得为这271个缝隙央求CVE编号。可是与很多开荒者一样，Mozilla本就不为里面发现的安全缝隙央求CVE。这些缝隙时常会被打包成一个斡旋补丁发布。平时情况下，纪录这些"打包诞生"实质的Bugzilla讲述在诞生后会荫藏数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，通常的品评者例必会宣称这些讲述亦然用心筛选的，背后荫藏着更多不准确的狂放。

在Mythos发现的271个缝隙中，180个被标志为sec-high，即Mozilla里面讲述缝隙中的最高档别。这类缝隙可通过平时的用户行径触发，举例浏览某个网页。（唯独更高的级别sec-critical仅用于零日缝隙。）另有80个被评为sec-moderate，11个为sec-low。

品评者的握续质疑并非毫无道理。炒作是东说念主为拉高AI公司本已虚高估值的习用妙技。Mozilla对Mythos不惜溢好意思之词，即即是相对信任的东说念主也未免会思：Mozilla究竟得到了什么讲演？这次的详备露馅非但莫得平妥协论，反而很可能进一步激化争议。

可是在Grinstead看来，这些细节已是AI赞助缝隙发现切实可用的有劲讲明，Mozilla的动机也很苟简。

"曩昔一年充斥着多样低质料提交，全球齐依然有些疲困了，是以咱们以为有必要展示咱们的责任过程，灵通部分缝隙讲述，并更详备地加以先容，但愿以此鼓舞一些行径，或延续这方面的盘考，"他说，"这里面莫得任何营销主张。咱们团队依然透顶认同了这套花样。咱们思传递的是对于这项时期自己的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现缝隙的中枢摧残是什么？

A：Mozilla这次已毕摧残的枢纽有两点：一是Anthropic Mythos模子自身体干的进步，二是Mozilla挑升开荒了自界说"智能体框架"。该框架包裹在大谈话模子外层，为其提供教唆和器具，并联接其轮回施行任务，同期允许Mythos调用Mozilla开荒者日常使用的器具链和测试版Firefox，从而大幅减少了误报，已毕了"险些零误报"的效果。

Q2：Mythos发现的271个Firefox缝隙严重进度如何？

A：在271个缝隙中，180个被评为sec-high，是Mozilla里面讲述的最高缝隙级别，可通过用户平时浏览网页等行径触发；80个为sec-moderate（中品级别）；11个为sec-low（初级别）。这些缝隙均未单独央求CVE编号，而是按照Mozilla旧例打包成斡旋补丁发布。

Q3：为什么外界对Mozilla的AI缝隙检测效果握怀疑作风？

A：品评者认为Mozilla的作念法存在炒作嫌疑：未为缝隙央求CVE编号、公开的12份讲述可能是用心筛选的样本AG真人，且Mozilla对Mythos的高度赞赏令东说念主怀疑背后存在利益接头。此外，AI赞助安全检测鸿沟此前存在大齐"幻觉"问题，业界对此已有警惕。Mozilla方面则强调无任何营销主张，并暗示舒坦公开更多细节以鼓舞行业对话。