当Mozilla首席本事官上月宣称，借助AI扶持罅隙检测，"零日罅隙的末日已近"，"退守者终于有契机取得决定性顺利"时，外界的质疑声绵绵连续。毕竟，这一幕似曾阐明：用心挑选几个AI的亮眼效果，略去那些可能让图景更为复杂的细节，任由炒作波浪滔滔上前。

恰是意志到外界的这份怀疑，Mozilla于近日发布了一篇深度著作，详备先容了其使用Anthropic Mythos——一款特地用于识别软件罅隙的AI模子——在两个月内挖掘出Firefox 271个安全罅隙的幕后历程。Mozilla工程师默示，这次真确齐备打破的关节身分主要有两点：其一是模子自身能力的普及，其二是Mozilla特地开辟了一套自界说"器用框架"，为Mythos分析Firefox源代码提供撑握。

确实零误报

工程师们坦言，此前在AI扶持罅隙检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子赶快会生成看似合理的罅隙禀报，数目往往极为可不雅。算计词，一朝东谈主工开辟者深刻排查，就会发现其中大批细节均属模子"幻觉"。开辟者不得不再行参加大批元气心灵，用传统款式逐个核实罅隙禀报。

Mozilla凸起工程师Brian Grinstead在袭取采访时默示，Mozilla与Mythos的互助之是以一鸣惊人，中枢在于引入了智能体框架——一段包裹在大说话模子外层、指引其实施一系列特定任务的代码。要让这套框架真确发扬作用，需要参加大批资源，将其针对具体模样的语义、器用链和经由进行深度定制。

Grinstead将团队构建的框架边幅为"驱动大说话模子齐备推敲的代码。它向模子下达辅导（举例：'找出这个文献中的罅隙'），提供相应器用（举例允许其读写文献、实施测试用例），然后轮回运转直至任务完成"。该框架让Mythos约略调用Mozilla东谈主工开辟者所使用的全套器用和经由，包括特地用于测试的Firefox特殊构建版块。

他进一步解释谈：

有了这套框架，惟有能界说出明晰且细则的顺利信号或任务考据信号，就不错不断驱动模子握续职责。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着顺利。咱们将智能体指向某个源文献，告诉它："咱们知谈这个文献里有问题，请去找出来。"它会构造测试用例，借助咱们现存的无极测试系统和器用来运转这些测试，并默示："我认为惟有把HTML写成这么就会出问题。"测试用例发送给器用后，器用会给出是或否的判断。要是谜底是笃信的，还会进行非常的考据。

这一非常考据步伐由第二个大说话模子承担，素雅对第一个大说话模子的输出进行评分。高分遗弃带给开辟者的置信度，与通过传统款式发现罅隙所得回的置信度不相高下。

"从最终产出的罅隙来看，确实莫得误报，"他说谈。

这次幕后清楚施行包括：公开271个罅隙中的12个完好意思Bugzilla禀报——这些罅隙由Mythos发现，Claude Opus 4.6也有部分参与。每份禀报均提供了触发不安全内存现象的测试用例（即相应的HTML或其他代码），且沿途合适Mozilla将其认定为Firefox安全罅隙所条款的尺度。至少有又名研究东谈主员默示，初步观看这些禀报后，认为其"特别有劝服力"。

Grinstead默示，与此前泛滥的低质料罅隙清楚不同，由框架指引的Mythos分析、经第二个大说话模子说明、并最终纳入禀报的详备信息，NBA篮球投注app官网下载带给团队一种前所未有的信心。

"这恰是让咱们约略以现存限制握续运作的关节，"他说，"它为工程师提供了一个不错径直操作的考据机制，明确奉告'是的，这里如实存在问题'，然后你就不错对代码进行迭代，明晰地知谈何时已竖立问题，最终将测试用例纳入代码库，确保不会再出现回来。"

如前所述，Mozilla将AI扶持罅隙发现定性为"游戏规则调动者"的说法，在诸多圈子里遭到了大限制、公开的质疑。月旦者启航点嘲讽Mozilla莫得为这271个罅隙央求CVE编号。算计词与很多开辟者一样，Mozilla本就不为里面发现的安全罅隙央求CVE。这些罅隙不时会被打包成一个谐和补丁发布。平时情况下，记载这些"打包竖立"施行的Bugzilla禀报在竖立后会避讳数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，相似的月旦者例必会宣称这些禀报亦然用心筛选的，背后避讳着更多不准确的遗弃。

在Mythos发现的271个罅隙中，180个被标志为sec-high，即Mozilla里面禀报罅隙中的最高等别。这类罅隙可通过平时的用户步履触发，举例浏览某个网页。（独一更高的级别sec-critical仅用于零日罅隙。）另有80个被评为sec-moderate，11个为sec-low。

月旦者的握续质疑并非毫无根由。炒作是东谈主为拉高AI公司本已虚高估值的习用技能。Mozilla对Mythos不惜溢好意思之词，即就是相对信任的东谈主也未免会思：Mozilla究竟得到了什么呈文？这次的详备清楚非但莫得平妥协论，反而很可能进一步激化争议。

算计词在Grinstead看来，这些细节已是AI扶持罅隙发现切实可用的有劲解释，Mozilla的动机也很简单。

"已往一年充斥着各式低质料提交，专家齐还是有些疲钝了，是以咱们认为有必要展示咱们的职责过程，绽开部分罅隙禀报，并更详备地加以先容，但愿以此推进一些步履，或延续这方面的研究，"他说，"这里面莫得任何营销方针。咱们团队还是彻底认同了这套步伐。咱们思传递的是对于这项本事自己的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现罅隙的中枢打破是什么？

A：Mozilla这次齐备打破的关节有两点：一是Anthropic Mythos模子自身能力的普及，二是Mozilla特地开辟了自界说"智能体框架"。该框架包裹在大说话模子外层，为其提供辅导和器用，并指引其轮回实施任务，同期允许Mythos调用Mozilla开辟者日常使用的器用链和测试版Firefox，从而大幅减少了误报，齐备了"确实零误报"的效果。

Q2：Mythos发现的271个Firefox罅隙严重进程怎么？

A：在271个罅隙中，180个被评为sec-high，是Mozilla里面禀报的最高罅隙级别，可通过用户平时浏览网页等步履触发；80个为sec-moderate（中等第别）；11个为sec-low（初级别）。这些罅隙均未单独央求CVE编号，而是按照Mozilla旧例打包成谐和补丁发布。

Q3：为什么外界对Mozilla的AI罅隙检测效果握怀疑气派？

A：月旦者认为Mozilla的作念法存在炒作嫌疑：未为罅隙央求CVE编号、公开的12份禀报可能是用心筛选的样本，且Mozilla对Mythos的高度传颂令东谈主怀疑背后存在利益关连。此外，AI扶持安全检测界限此前存在大批"幻觉"问题NBA篮球下注app官方最新版，业界对此已有警惕。Mozilla方面则强调无任何营销方针，并默示感奋公开更多细节以推进行业对话。