Firefox 開發商 Mozilla 透露,Anthropic 的 Claude Mythos AI 早期版本在內部測試中,於 Firefox 瀏覽器中發現了 271 個漏洞,所有這些漏洞已於本週修復。
這些發現指出,先進的 AI 系統正開始以過去仰賴網路安全研究人員長時間手動工作的規模來掃描大型程式碼庫。Mozilla 表示,即使是經過強化的軟體目標,現在也能在更短的時間內進行更深入的檢查。
Mozilla 寫道:「當這些能力落入更多防禦者手中時,許多其他團隊現在正經歷著我們最初發現這些成果時的相同眩暈感。」「對於一個經過強化的目標來說,2025 年只要一個這樣的錯誤就足以發出紅色警報,而一次性出現這麼多,會讓人不禁懷疑是否還有可能跟上。」
早期使用另一個 Anthropic 模型進行的測試,曾在之前的 Firefox 版本中發現 22 個安全敏感漏洞。儘管有這些進展,Mozilla 指出,完全消除軟體漏洞長期以來一直被認為是不切實際的。
該公司寫道:「直到現在,這個產業在安全方面大致上是平手。」「像 Firefox 這樣關鍵的網路暴露軟體供應商,極度重視安全性,並擁有每天起床都想著如何保護用戶安全的團隊。」
Mozilla 表示,新系統能夠以過去需要高度專業化人工技能的方式來審查原始碼並標記弱點。內部結果顯示,該模型並未發現超出頂級研究人員能力範圍的錯誤。
該公司表示:「一些評論員預測未來的 AI 模型將會挖掘出完全超出我們目前理解範圍的新型漏洞,但我們不這麼認為。」「像 Firefox 這樣的軟體是模組化設計的,目的是讓人們能夠理解其正確性。它很複雜,但並非任意複雜。」
Claude Mythos 於三月推出,Anthropic 將其描述為其在推理、程式碼編寫和網路安全任務方面最先進的模型,定位於其早期的 Opus 系列之上。發布前的測試表明,它可以在作業系統和瀏覽器中識別出數千個未知漏洞。
該系統的訪問權限仍透過一項名為 Project Glasswing 的限制性計畫進行,該計畫允許包括亞馬遜、蘋果和微軟在內的特定公司掃描軟體中的安全漏洞。
安全研究人員警告,相同的能力也可能被用於攻擊。能夠大規模分析程式碼的 AI 工具也可能自動發現廣泛使用的軟體系統中可利用的漏洞。
英國 AI 安全研究所的測試顯示,該模型可以獨立執行複雜的網路操作,包括在沒有人為輸入的情況下完成多階段的企業網路攻擊模擬。這些結果引起了各國政府和情報機構的關注。
儘管早前與唐納·川普政府在 Anthropic 技術使用上存在分歧,但據知情人士透露,美國國家安全局已在機密網路上部署了 Claude Mythos 預覽版。此舉表明美國機構對能夠偵測關鍵軟體漏洞的 AI 工具越來越感興趣。
Anthropic 也承認,目前的網路安全基準難以跟上其最新模型的進度,這引發了關於如何衡量 AI 在該領域表現的問題。
Mozilla 表示,這些結果暗示了一個可能的轉捩點,防禦者或許能開始縮小與攻擊者之間長期存在的差距。
該公司寫道:「我們對我們的團隊如何應對這一挑戰感到非常自豪,其他團隊也會如此。」
「我們的工作尚未完成,但我們已經轉危為安,並且能夠預見一個遠比僅僅跟上更好的未來。防禦者終於有機會果斷地獲勝。」
