安提洛普(Anthropic)於四月推出新模型 Mythos 時,同時向軟體開發者發出嚴正警告。該模型在識別軟體漏洞方面能力極強,實驗室聲稱其已發現數千個高嚴重性錯誤,這些問題必須在公開前修復。隨後,Mozilla 的 Firefox 瀏覽器安全研究人員深入檢視了該過程的實際運作。Mozilla 於週四發布宣告指出,Mythos 挖掘出大量高嚴重性漏洞,其中包括一些在程式碼中沉睡超過十年的隱患。這相比六個月前 AI 安全工具的表現有顯著進步。此前,AI 找錯工具常伴隨嚴重缺點,如淹沒安全團隊的低品質報告與大量誤報。但 Mozilla 研究人員表示,最新一代工具已迎來轉折,特別是代理系統能自我評估並過濾不良結果後,模型能力大幅提升,且團隊也大幅改善了利用這些模型的技巧。
結果令人印象深刻:2026 年四月,Firefox 發布了 423 個漏洞修復,而一年前僅為 31 個。研究人員還公開了 12 個漏洞的詳細資訊,範圍從特殊的沙盒漏洞到一個解析 HTML 元件的十五年老錯誤。Mozilla 資深工程師 Brian Grinstead 表示,這些發現顯示 AI 在內部掃描、外部報告及產業訊號中均表現出色。發現沙盒漏洞尤為驚人,因為攻擊該系統需要極其複雜的步驟。模型必須編寫受汙染的修復程式碼,然後用新程式碼攻擊軟體最安全的部分。這是一個需要創意與細心的多步驟過程。Mozilla 的漏洞獎勵計畫對沙盒漏洞的研究者最高支付 20,000 美元,儘管如此,Grinstead 指出 Mythos 發現的沙盒問題數量仍遠超人類研究人員。
值得注意的是,Firefox 團隊目前尚未使用 AI 直接修復漏洞。雖然他們會請 AI 編寫修復程式碼,但結果通常無法直接部署,而是作為人類工程師的參考模型。Grinstead 強調,每個漏洞都需要一名工程師撰寫修復程式碼,另一名工程師審查,目前尚未發現可完全自動化的情況。關於 AI 能力如何改變網路安全的力量平衡仍不明確。Mythos 預覽一個月後,大部分發現的漏洞可能尚未修復,難以完全評估其影響。儘管安提洛普嚴格遵循負責任披露規範,但惡意