上个月,Mozilla首席技术官抛出了一个相当大胆的论断:AI辅助的漏洞检测意味着“零日漏洞时日无多”,防守方终于有机会取得决定性胜利。这种话在安全圈听来,多少有些似曾相识的炒作意味。毕竟,挑几个亮眼的AI成果大肆宣传,对技术细节避而不谈,已经是科技圈一贯的套路。面对外界的质疑,Mozilla本周四交出了底牌,公开了他们使用AI模型挖掘Firefox漏洞的内部细节。
271个漏洞与极低的误报率
据Mozilla官方披露的数据,过去两个月内,他们利用Anthropic公司开发的AI模型Mythos,在Firefox浏览器中挖掘出271个安全漏洞。最让工程团队兴奋的并非单纯的数量,而是这些漏洞报告“几乎没有误报”。
在传统的静态代码分析(Static Code Analysis,指不运行程序直接分析源代码找漏洞的技术)领域,误报率一直是阻碍工具落地的最大顽疾。当工具频繁发出错误警报,安全人员就会陷入“狼来了”的疲惫状态,最终不得不放弃自动化工具,回归人工审计。Mozilla这次给出的数据,显然试图证明AI在漏洞挖掘上已经跨过了实用门槛,而不是在制造更多噪音。
模型进化与定制化测试支架
仅仅把代码丢给大模型,然后问它“哪里有漏洞”,这种简单粗暴的做法在Mozilla早期的尝试中已被证明行不通。这次能取得实质性突破,主要归功于两个关键因素。
首先是底层大模型能力的提升。Mythos作为Anthropic针对代码安全场景训练的模型,在上下文理解和逻辑推理上比早期的通用模型有了进步。但更核心的原因,在于Mozilla为Mythos量身定制了一套专属的“harness”。
在软件工程中,harness通常指测试套件或运行支架,它的作用是为被测代码提供一个可控的模拟运行环境。Firefox是一个拥有数千万行代码的庞大C++项目,代码之间的调用关系错综复杂。如果直接让AI模型去读这些代码,它很容易在深层的函数调用中迷失。Mozilla工程师开发的这套定制化harness,能够在Mythos分析Firefox源代码时,为其提供必要的上下文关联和结构化支撑,相当于给AI配备了一个精确的代码导航仪。
告别看似专业的幻觉
回顾之前使用AI辅助查漏的经历,Mozilla工程师用了“unwanted slop”(不受欢迎的垃圾)来形容。这也是目前大多数直接调用通用大模型做代码审计的人常遇到的困境:你给模型一段代码,它确实能以惊人的规模生成漏洞报告,而且行文看起来极其专业、逻辑严密。然而,当人类安全研究员顺着报告去逐行核实,往往会发现大量细节是大模型编造的,也就是所谓的“幻觉”。
比如模型可能会虚构一个根本不存在的变量溢出,或者错误判断某个指针的内存释放时机。处理这些充满幻觉的报告,不仅没有节省时间,反而增加了额外的负担,研发人员依然需要用传统的方式去验证每一个虚假的线索。而这次引入定制harness后的Mythos,从根本上改变了这一状况。通过约束模型的推理路径,提供精确的执行环境,AI不再是胡乱猜忌的门外汉,而是变成了能够精准定位缺陷的审查员。
从“生成一堆看似专业的废话”到“输出几乎无误报的有效漏洞”,Mozilla的实践表明,AI在安全领域的价值不在于通用模型的无差别轰炸,而在于如何通过工程化手段将其限制在专业且可控的轨道上。零日漏洞是否真的时日无多尚难定论,但至少在Firefox的代码库里,防守方确实多了一件趁手的武器。