Mozilla：AI漏洞挖掘工具Mythos发现271个漏洞，几乎零误报

Mozilla近日在一篇技术博客中宣布，其内部开发的AI辅助漏洞发现系统Mythos已在Firefox代码库中成功识别出271个安全漏洞，且该系统几乎不产生误报。Mozilla安全团队负责人表示，团队已“完全买账”（completely bought in），对AI辅助漏洞发现的前景充满信心。这一声明不仅展示了AI在网络安全领域的巨大潜力，也标志着传统浏览器厂商对自动化漏洞检测态度的根本转变。

Mythos：AI驱动的漏洞猎手

Mythos是Mozilla内部自研的机器学习系统，专门用于分析Firefox的源代码并发现潜在的安全漏洞。与传统的静态分析工具或模糊测试不同，Mythos通过深度学习模型学习已知漏洞的模式，进而预测代码中可能存在的缺陷。据Mozilla安全工程主管Dan Goodin介绍，Mythos在最近一轮测试中扫描了数百万行C++和JavaScript代码，最终报告了271个独特漏洞，其中仅有极少数被证实为误报。这意味着Mythos的假阳性率远低于行业平均水平，传统自动化工具常常因大量误报而让安全分析师疲于奔命。

“我们几乎不再需要人力去验证Mythos的报告——它发现的漏洞几乎都是真实存在的。”——Mozilla安全团队高级工程师

质量与效率的平衡

Mozilla表示，Mythos不仅提高了漏洞发现的效率，还显著提升了质量。在已经确认的271个漏洞中，有超过60个被归类为高危或严重级别，这些漏洞如果不及时修复，可能导致远程代码执行、权限提升等严重后果。值得注意的是，Mythos并非替代人类安全研究员，而是作为强大的辅助工具，让团队能够将精力集中在其他复杂问题上。Mozilla已经将Mythos集成到其持续集成/持续部署（CI/CD）流水线中，每次代码提交都会自动触发扫描。

AI在漏洞挖掘领域的应用并非新鲜事。过去几年，Google的Project Zero团队、微软的Security Response Center等机构都尝试过机器学习模型。但Mozilla宣称Mythos的“几乎零误报”特性是独一无二的。传统模型往往在召回率和精确率之间权衡：提高召回率会导致大量误报，而降低误报又可能漏掉真实漏洞。Mythos通过一种名为“上下文感知注意力机制”的架构，在保持高召回率的同时，将误报率压到了极低水平。

行业影响与未来展望

这一消息在网络安全界引发了广泛讨论。有分析认为，如果Mozilla开源Mythos的模型或方法论，将极大推动整个行业的AI安全工具发展。目前，Mozilla尚未透露是否计划将Mythos商业化或开源，但内部消息称，团队正在评估技术转让的可能性。与此同时，Firefox浏览器本身的安全态势也将得到显著增强——271个漏洞已被分配CVE编号并陆续修复，用户只需更新至最新版本即可受益。

然而，AI漏洞挖掘并非万能。一些安全专家指出，AI模型可能对新型攻击模式或非结构化漏洞（例如协议逻辑缺陷）检测能力不足。Mozilla也承认，Mythos目前主要聚焦于内存安全错误和类型混淆问题，对于设计层面的缺陷仍需人工审查。此外，数据隐私和模型训练成本也是潜在挑战。

编者按：Mozilla全面拥抱AI辅助漏洞发现，反映出科技巨头在网络安全领域对技术转型的迫切需求。随着软件复杂度持续攀升，传统人工代码审计已难以为继。Mythos的成功实践表明，AI不再只是“锦上添花”的工具，而是可以真正成为安全体系的“守门员”。未来，我们或许会看到更多浏览器、操作系统甚至嵌入式系统厂商效仿这一路径。但需注意，AI工具并非银弹，企业和开发者仍需保持对安全伦理和验证流程的敬畏。

本文编译自Ars Technica