Mozilla最近干了一件很牛的事——他们的工程师利用Anthropic的Claude Mythos AI模型,成功在Firefox浏览器中排查出271个安全漏洞,其中180个被评估为高危级别,可能影响用户的正常使用和数据安全。
271个漏洞是什么概念?Firefox作为一个开发了二十多年的复杂软件,代码量巨大,人工审计很难覆盖所有角落。传统方式下,安全团队需要一行一行读代码、设置各种测试场景,耗时耗力。而用AI来辅助排查,相当于给安全团队配了一个不知疲倦、阅读速度极快的超级助手。
但用AI找漏洞有个大问题——{LQ}幻觉{RQ}。AI有时候会{LQ}看错{RQ}代码,把正常的逻辑误报为漏洞,或者编造根本不存在的问题。如果盲目相信AI的输出,安全团队可能会被大量误报淹没,反而降低效率。
Mozilla的解决方案很聪明:他们开发了一套叫Agent Harness(智能体套件)的系统,让AI在分析代码时遵循严格的流程和规则。更重要的是,他们还引入了第二个AI模型对第一个模型的输出进行打分和验证——就像让两个专家互相审稿,最终只保留双方都认为有问题的漏洞。通过这种双重验证机制,最终报告的误报率几乎为零。
这个案例的意义超越了Firefox本身。它证明了AI在复杂代码审计中的实用价值,也为其他软件项目提供了可复制的经验。未来,AI辅助安全审计可能成为软件开发的标配——在代码提交、版本发布、日常维护中持续扫描漏洞,把安全问题消灭在萌芽阶段。对普通用户来说,这意味着我们用的软件会越来越安全,因为背后有AI在24小时不间断地{LQ}捉虫{RQ}。
本文地址:https://www.163264.com/11512
