如今,Mozilla Firefox 浏览器的安然研究人员初次体系披露了这一过程在实际工程中的运作细节,并测验测验解释 Mythos 对整体软件安然生态意味着什么。 Mozilla 在周四宣布的一篇文章中表示,Mythos 已经在 Firefox 中发掘出大年夜量高危马脚,个中一些缺点在代码中埋伏时光已跨越十年。
在短短半年内,AI 安然对象的实用性出现了明显飞跃。 以前一段时光,各类 AI 主动查错对象往往“噪声”极大年夜,动辄给安然团队塞满质量堪忧的申报和大年夜量误报,让工程团队疲于敷衍。 Mozilla 的研究人员认为,新一代对象已经“拐点已至”,尤其是在具备“代理式”才能之后,模型可以对本身的分析成果做二次评估与筛选,从而过滤掉落大年夜量不靠谱的输出。
从经济鼓励上也能看出其价值。 Mozilla 的马脚赏金筹划对 Firefox 沙箱马脚给出的最高奖金为 2 万美元,是所有马脚类别中嘉奖上限最高的一档。 尽管如斯,Grinstead 表示,Mythos 今朝找到的沙箱相干问题数量,已经跨越人类安然研究员以前经由过程赏格发掘出的同类马脚总和。 “我们确切会收到沙箱马脚的申报,”他说,“但从数量上讲,远远比不上我们应用这种新技巧主动发明的范围。”
具体到成果层面,变更尤为直不雅:2026 年 4 月,Firefox 共宣布了 423 个马脚修复补丁,而在一年前同月,这一数字只有 31 个。 研究团队还公开了个中 12 个马脚的技巧细节,既包含两处罕有的沙箱安然机制缺点,也包含一个长达 15 年之久的 HTML 元素解析缺点。
“这些对象如今真的忽然变得异常好用了。”Mozilla 出色工程师 Brian Grinstead 在接收 TechCrunch 采访时说。 “我们在内部扫描体系上看到了这一点,在外部提交的马脚申报中也看到了同样的趋势,放眼全部行业也是如斯。”
“很难夸大年夜这种变更在几个月内对我们的影响有多大年夜。”研究人员写道。 “起首,模型本身的才能有了巨大年夜晋升;其次,我们在若何驾驭这些模型方面的技巧栈也进步很快。”
个中最惹人注目标一点,是 Mythos 赞助发清楚明了一批与浏览器“沙箱”机制相干的马脚。 在业内,这类马脚素来被视为最难发掘、伤害最高的缺点之一:要成功找到并验证沙箱马脚,模型不仅要能编写出带有恶意修改的补丁,还要在引入这段新代码后,设法进击到浏览器中防护最严密的那部分组件。 这个过程须要在多步操作之间保持严密逻辑和足够创造力,难度远高于惯例缺点发掘。
值得留意的是,尽管业界在 AI 代码生成对象方面进展明显,Firefox 团队今朝仍不依附 AI 来直接修复这些马脚。 团队会让模型基于每个马脚测验测验生成补丁,但这些主动生成的代码平日无法直接合入骨干,只能作为人类工程师编写修复筹划的参考范本。
“在本文提到的这些马脚中,每一个都是由一名工程师完成补丁编写,再由另一名工程师完成代码审核。”Grinstead 强调。 “我们至今没有找到让这一流程完全主动化的靠得住办法。”
在更宏不雅的层面上,AI 才能的快速演进毕竟会若何改变收集攻防之间的力量均衡,今朝仍然没有定论。 自 Mythos 预览版宣布以前一个多月,绝大年夜多半被其发明的缺点仍处于修复过程中,这也意味着外界尚难以周全评估其经久影响。 Anthropic 一向严格遵守负义务披露规范,慢慢与相干项目沟通马脚细节,但可以合理推想,一些恶意行动者也在暗里测验测验类似技巧,即便他们所用的模型在才能上仍减色一筹。
在近期的一场公开活动上,Anthropic 首席履行官 Dario Amodei 对这一趋势持相对乐不雅立场。 在他看来,假如行业能妥当治理这类对象的应用方法,最终戍守方的处境可能会比今天更好。“假如我们处理合适,最终的局面有望比一开端更安然,因为我们会把这些马脚一个个修掉落。”Amodei 说。“马脚的总量是有限的,所以在这之后有可能迎来一个更好的世界。”
比拟之下,经久在一线与马脚打交道的 Grinstead 则显得更为谨慎。 “这种对象对进击者和防御者都同样有效,但它的普及至少在必定程度上把优势往戍守一方那边稍微倾斜了一点。”他表示。 “更实际的说法是,如今没有人能真正给出这个问题的最终谜底。”
发表评论 取消回复