Mozilla安全团队近日宣布,借助Claude Mythos Preview及其他AI模型,在Firefox 150中识别并修复了创纪录数量的潜在安全漏洞。数据显示,团队共发现271个安全漏洞,其中180个被列为sec - high级别,80个为sec - moderate,11个为sec - low。
这些漏洞包含复杂的沙箱逃逸、使用后释放(use - after - free)漏洞、竞态条件以及需要深入理解浏览器内部架构的内存安全问题。传统的模糊测试(fuzzing)方法在发现复杂攻击链方面存在局限,特别是沙箱逃逸这类漏洞,它们需要推理多进程架构和信任边界,而现代AI模型能够追踪复杂的攻击链,识别传统方法难以发现的安全问题。
Mozilla团队构建了agentic harness系统,该系统能可靠地检测安全问题、创建可复现的测试用例,并在整个代码库中规模化应用。其核心是提示模型检查特定代码区域,并生成概念验证测试用例来演示漏洞。
Mozilla的实践表明,AI生成的安全报告已从最初的“不受欢迎的垃圾”转变为高效的安全工具。团队建立了一套管道系统,能够发现真实漏洞,同时过滤不可复现的推测。
编辑观点:此次Mozilla借助AI发现大量Firefox安全漏洞,凸显传统测试方法不足,也证明AI在安全领域潜力巨大,行业应重视AI在安全检测中的应用。
)
)
