Mozilla团队近日宣布,通过引入Anthropic公司的AI模型Claude Mythos,在Firefox浏览器代码库中成功识别并修复了271个安全漏洞。这一成果得益于AI技术与定制化工具的深度结合,其中180个高危漏洞的发现尤为引人注目,这类漏洞可能使用户在常规网页浏览过程中面临安全风险。
在漏洞分级统计中,除高危漏洞外,研究团队还确认了80个中危漏洞和11个低危漏洞。为回应业界对AI辅助漏洞检测可靠性的质疑,Mozilla公开了12份完整的Bugzilla技术报告,详细记录了从漏洞发现到修复的全过程。这些报告显示,AI生成的检测结果均经过严格的技术验证。
针对AI代码分析中常见的"幻觉"问题,Mozilla开发团队创新设计了Agent Harness智能体套件。该系统通过结构化指令控制AI模型的操作范围,例如限定在特定源文件中进行漏洞扫描。在执行过程中,AI模型会自主生成测试用例,包括构造特殊HTML代码,再结合传统模糊测试工具进行验证。当检测到内存崩溃等异常现象时,系统即判定存在潜在漏洞。
为确保检测精度,Mozilla构建了双重验证机制。初筛阶段发现的疑似漏洞会由第二个独立的大型语言模型进行可信度评估,只有获得高分的报告才会进入人工复核流程。这种设计有效过滤了80%以上的误报情况,显著降低了工程师的审核负担。
据项目核心开发者Brian Grinstead透露,经过双重验证的漏洞报告准确率接近100%。每个确认的漏洞都附带可复现的测试用例,工程师在修复后可通过运行这些用例验证修复效果,确保同类问题不会再次出现。这种闭环验证模式使开发团队能够集中精力处理真实存在的安全威胁。
技术亮点:
• 高危漏洞占比达66%,直接威胁用户设备安全
• 智能体套件实现AI操作的精准控制与自动化测试
• 双重模型验证机制将误报率控制在极低水平
