2026年5月:Firefox团队一个月修复423个安全漏洞
- 时间:
- 浏览:173
- 来源:华见咨询管理(深圳)有限公司
这场借助AI推动的安全修复风暴,其规模大小以及速度快慢,已然完全颠覆了传统的漏洞管理范式。Mozilla跟Anthropic展开的合作,不但带来了令人极为震惊的修复数字,而且激发出了对于软件安全未来工作流程的深入思考。技术圈子正在紧密关注着,看看这一模式会不会成为行业的新的标准。
合作背景与数据爆发
自2025年2月开始的时候起,Firefox团队当即就和Anthropic展开了深度全面的合作,在合作开始的初期阶段运用Claude Opus 4.6模型,于Firefox 148版本以内成功地修复了22个安全方面的漏洞,进而初步验证了AI辅助所具备的潜力,这样的一段尝试为后续规模变得更大的合作打下了基础,且积累了宝贵的工程化方面的经验。
转折点现身于 Firefox 150 版本的开发阶段,在 Claude Mythos Preview 模型接入之后,团队于 2026 年 4 月月里察觉到 271 个全新的安全漏洞,此数字大大超出预期,径直促使当月总的修复量抵达令人震惊的 423 个,缔造了浏览器安全维护的历史记录。
漏洞质量与历史遗留问题
此次所发现的漏洞,其质量是极高的,当中涵盖多个处于“sec-high”级别的高危漏洞。像这类漏洞,一旦被加以利用,那么用户在正常进行网页浏览的时候,便极有可能遭受攻击。在以往的时候,这类漏洞一般是由外部安全研究员借助高额悬赏计划给发现的,单个漏洞的赏金能够达到数千甚至上万美元。
竟更使人惊愕的是,Mythos成功发掘出多个暗暗蛰伏多年的“古董级”漏洞,依据Mozilla公然的12份详尽报告,当中一个与HTML元素有关的漏洞已在代码内里潜藏了15年,另一个和XSLT相关的bug居然有整整20的存在时长,这些发觉突显了传统人工作审计的盲区。
沙箱逃逸的突破性发现
在此次行动里,最为具有颠覆性的成果,乃是Mythos发觉了好些“沙箱逃逸”漏洞。浏览器内的沙箱举措意在将每个单一网页进行隔离运作,就即便网页遭受了攻破,然而攻击者也理应是没办法逃出隔离区域从而获取系统更高权限的。而沙箱逃逸漏洞可谓是恰恰打破了这最后的一道防线。
Firefox安全工程师Brian Grinside于博文中直言表达,Mythos所发现的沙箱逃逸漏洞数量,已然超出了人类安全研究员借由其漏洞赏金计划而发现的数量之和,是就该类漏洞而言。此类漏洞的赏金最高能够达到2万美元之数。这2万美元赏金乃是Mozilla赏金体系的上限所在。这点足以体现出其危害性及发现时所面临的难度。
工程化管道的核心作用
在早期的那些尝试里头,团队选用GPT - 4或者Claude Sonnet 3.5来开展静态代码分析,然而呢误报率过高这个状况出现了,以至于没办法投入到实际的生产当中去。关键之处在于构建起了一套高效的工程化管道。团队最开始的时候是在终端通过手动的方式去调试模型以及提示词,以此来验证工作流程的可行性。
运作流程顺畅之后,团队很快把它并行处理,于好多台临时虚拟机器上同时开展扫描工作,每一台虚拟机器负责专门的文件或者函数。这一整套管道拥有非常高的灵活性,更换核心模型只需改动一行配置就行。依靠从Opus 4.6转换至Mythos Preview差不多达成了毫无缝隙的承接,而且每一次模型升等都能够促使整体效能呈指数级上涨。
大规模人工验证与修复
第一步是AI发现漏洞,后续修复工作仍要靠大量工程师紧密协作。有一次史无前例的修复行动,超过100名Mozilla工程师参与其中,他们有的负责编写补丁,有的负责代码审查,有的负责管道维护,有的负责漏洞分类,有的负责测试验证,还有的负责发布管理。
Brian Grinside这位安全工程师明确言明,AI所生成的补丁仅仅能够当作参考,绝对是不能够直接就被部署到生产环境当中的。每一个漏洞的修复,都是经由了这样子的标准流程:首先有一名工程师去编写补丁,接着再有另一名工程师来展开代码审查。如此这般,既保障了修复质量,同时也造就出了Firefox有史以来安全程度最高的一个版本。
行业竞赛与安全未来
Anthropic和OpenAI正顺着不一样的路径来加快AI安全能力方面的竞赛,在2026年4月初的时候,Anthropic于发布Mythos Preview之际,开启了“玻璃翼计划”,宣称其模型在各大主流操作系统以及浏览器里找到了数千个高危漏洞,其中包含一个潜伏了27年的OpenBSD漏洞。
一周过后,OpenAI很快就跟随行动,发行了专门针对网络安全任务予以优化的GPT-5.4-Cyber模型,还把它融入到“威胁分析中心”计划之内。这个计划已延伸到数千名防御者那里。最新的消息表明,GPT-5.5-Cyber已面向顶级用户放开,用以进行漏洞狩猎以及恶意软件分析。这场竞赛同时也引发了有关AI安全能力扩散速度以及控制方面的新的担忧。
鉴于AI于网络安全范畴所呈现出的这般“双刃剑”特质,你觉得行业监管同开源社区该怎样构建全新的协作以及制衡机制,进而保证技术红利不被肆意滥用呢?欢迎于评论区去分享你的看法,可别 forget 点赞且转发此文章以使更多人投身讨论。
猜你喜欢