Firefox 安全神话：Claude 如何一个月找出423个漏洞，颠覆安全攻防格局

你以为 AI 生成的安全报告只是给开源维护者添乱的‘噪音’？Mozilla 和 Claude 的合作，刚刚上演了一出惊天大逆转。

起因：从“麻烦制造者”到“超级审计员”的转折点 长期以来，AI 在安全领域的名声并不好。用大模型随便扫一下代码，生成一堆看似合理实则错误的漏洞报告，维护者需要花大量时间去验证和回复，这种“不对称成本”让社区苦不堪言。然而，Mozilla 最近分享的实践彻底颠覆了这一认知。他们利用 Anthropic 的 Claude Mythos 预览版，结合一套精密的工程化调度（harnessing）技术，在2026年4月一个月内，为 Firefox 发现并修复了423个安全漏洞。这个数字是2025年月均修复量（约20个）的20倍以上，甚至揪出了潜伏15到20年的古老漏洞。这标志着 AI 安全审计能力发生了根本性质变。

拆解：核心不是更强的模型，而是更聪明的“驾驭术” 这次突破的关键，并非仅仅依赖一个更强大的基础模型（尽管 Claude Mythos 本身能力卓越），而在于 Mozilla 开发的 “工程化调度”技术。你可以把它想象成一个经验丰富的“安全审计项目经理”：它不只是把代码丢给 AI 让它自由发挥，而是精心设计任务流程，引导模型聚焦于最可能出问题的区域，同时并行运行多个审计任务（扩展），最后将海量结果进行交叉验证和过滤（堆叠），确保留下的都是高置信度的“真金白银”。文章中提到，许多 AI 发现的攻击尝试，其实被 Firefox 现有的纵深防御机制成功拦截了。这恰恰说明了这套方法的精妙之处——它不是在重复已知的防御，而是在系统性探索现有防线的“盲区”和“边缘地带”，寻找那些被传统方法遗漏的、深层的逻辑漏洞。

趋势洞察：AI 正在重塑安全攻防的“成本经济学” 这件事揭示了一个远超工具迭代的深层趋势：AI 正在将安全审计从一项高技能、高成本的“手工业”，转变为可规模化、自动化的“现代工业”。过去，找到一个像样的安全漏洞需要顶尖安全研究员数小时甚至数天的专注工作。现在，AI 可以不知疲倦地、系统性地扫描整个代码库，其成本和速度优势是压倒性的。Mozilla 的案例证明，当技术（更强的模型）和方法（更好的调度）结合时，AI 不仅能做，而且能做得比人类团队更好、更全面。这可能会迫使整个行业重新思考安全团队的构成和资源分配——未来的安全专家，可能更需要擅长设计和管理这些 AI 审计系统，而非亲自进行每一行代码的审查。

实用价值与反常识启示 对于开发者和安全从业者而言，这个案例的实用价值在于：

1. 立即行动：不要因为早期 AI 安全工具体验差而因噎废食。现在是时候重新评估和试用新一代的 AI 代码审计工具了，它们的能力可能已今非昔比。
2. 转变思维：将 AI 视为一个“永不疲倦的初级安全审计员”。你可以用它来对代码库进行初步的、广度优先的扫描，然后人类专家集中精力处理 AI 标记出的高风险、高复杂度问题。这能极大提升团队的整体效率。
3. 反常识点：很多人认为 AI 在安全领域会制造更多“误报”噪音。但 Mozilla 的实践表明，通过正确的工程化方法，AI 可以成为“信号放大器”。它甚至能利用你现有的防御措施作为“基准线”，去寻找那些绕过这些防御的、更隐蔽的漏洞。这不再是简单的模式匹配，而是具备了初步的“推理”和“探索”能力。

总之，Firefox 的这次“安全加固”不仅仅是一次成功的工具应用，它更像是一个宣言：AI 驱动的、规模化的安全审计时代已经到来。它改变的不仅是找漏洞的速度，更是整个软件安全防御的范式和经济学模型。

---

原文地址: Behind the Scenes Hardening Firefox with Claude Mythos Preview