機械人
Firefox近月修補的保安漏洞數量突然暴增,Mozilla稱原因之一是Claude Mythos Preview開始找到能用測試證明的漏洞,而不只是生成看似合理的警告。Mozilla在Firefox 150版修補271個由這款AI模型找到的漏洞,4月各版本合共修補423個保安漏洞,遠高於2025年每月約20至30個。
Mozilla稱,幾個月前開源項目收到的AI保安報告,多數仍是浪費時間的假警報。今次不同之處,在於模型不只指出可疑程式碼,還能寫出測試個案,讓Firefox團隊反覆確認問題是否真的存在。這令AI由製造雜訊,變成真正可協助找漏洞的工具。
Mozilla公開少量已修補個案作例子,當中包括已有15年的HTML legend元素問題、20年的XSLT問題、WebAssembly GC和JIT配合下可能製造假物件的錯誤,以及IndexedDB和WebTransport經IPC引發的記憶體安全問題。這些例子不少要同時理解多個瀏覽器子系統和邊緣情況,並非一般掃描工具容易找出的錯誤。Mozilla亦指,部分個案屬sandbox escape,意思是攻擊者要先攻入受限制部分,再利用漏洞進一步存取權限較高的位置。
在271個Claude Mythos Preview相關漏洞中,180個評為sec-high,80個評為sec-moderate,11個評為sec-low。Mozilla強調,高危漏洞不等於單靠一個錯誤便可完整攻陷Firefox,現代瀏覽器有多層隔離,真正攻擊通常要利用多個保安漏洞逐步入侵。不過,AI已能成批交出可用測試證明的漏洞報告,大型軟件項目日後要處理的問題,終於可靠AI去協助和修補。
