新智元报说念

[新智元导读]太汗漫了！ClaudeMythos单月狂扫423个安全错误，产出飙升14倍，连藏了20年的老Bug皆被连根拔起。

今天，Mozilla放出一篇爆火的深度复盘博文——

Firefox团队凭ClaudeMythosPreview，在短短一个月内确立了423个安全错误！

令东说念主顿口窘态的是，4月单月错误确立量，跨越了此前15个月的总额。

2025年，Firefox平均每月确立21.5个安全错误。同期4月，也仅有31个错误被处置。

这种降维打击让技艺圈透澈坐不住了，驳倒区早已被AI大佬的「哇噻」刷屏。

大佬躬行下场复盘：着实的「顶级猎手」

「一忽儿之间，这些bug变得十分好」，这是Mozilla工程师写下的原话。

就在几个月前，AI生成的安全错误解说，照旧开源社区的「恶梦」——看着像那么回事，实质全是Slop。

爱护者花大批时分去考证一个「发现」，结尾发现全是幻觉！

但这一切，在短短几个月内发生了天翻地覆的变化。主要原因有两个：

第一，模子本人变强了；第二，独霸模子的工程步地有了质的飞跃。

说白了，模子在迅速变强，工程师在迅速学会怎样用它。

两条弧线一相乘，结尾等于Firefox这一个月423这个夸张的数字。

271个错误，180个高危，有的藏了20年

从本年2月运行，Firefox团队就和Anthropic张开了谐和。

最早用的是ClaudeOpus4.6，在Firefox148中确立了22个安全错误。

Firefox150版块发布时，碰巧MythosPreview来了，谁也没料想，它连气儿挖出了271个安全错误。

更狠的是细节，这271个错误中：

sec-high级别的错误，博亚体育中国官网入口惟灵验户正常浏览网页就可能被触发。

这种错误当年十几年里，常常是被外部白帽子高额赏格挖出来，一个等于几千致使上万好意思元的赏金。

而目下，Mythos径直横扫了271个。后续，它又在149.0.2、150.0.1和150.0.2中连续确立了更多。

在4月觉得的423个安全错误中，271个由Mythos径直发现，41个来自外部安全商议员。

而剩余的111个，由里面团队通过Mythos除外的其他模子、闲隙测试等格式发现。

更重磅的是，Mozilla还公开了12个错误的细腻解说。

有一个HTML元素的错误还是在代码里藏了15年，还有一个XSLT连络的bug存在了整整20年。

「沙箱兔脱」皆能挖，赏金2万刀那种

最让安全圈振荡的，是Mythos找到了多个「沙箱兔脱」错误（sandboxescapes）。

浏览器会把每个网页放在一个「沙箱」里运行，即使网页被袭击者截止，也无法逃出这个间隔区。

而沙箱兔脱，等于找到步地从这个间隔区「逃狱」，取得更高权限。

这类错误有多难找？连Fuzzing皆很难掩饰。

Mozilla的「BugBounty筹画」给沙箱兔脱错误开出的最高赏金是2万好意思元，2026世界杯(中国)悉数这个词赏金体系的天花板。

即便开出了顶格赏金，Firefox安全工程师BrianGrinstead也坦言：「Mythos找到的沙箱兔脱错误数目，还是跨越了东说念主类安全商议员的总额」。

而Mythos找「沙箱兔脱」的格式也很硬核：

它会我方写一段坏心补丁注入沙箱程度，然后用这段代码去袭击浏览器最安全的部分。

悉数这个词过程需要创造性想维，以及对多程度架构的深度纠合。

AgenticHarness，换模子只需一滑代码

但，模子强仅仅一半。

最早，他们尝试用GPT-4或ClaudeSonnet3.5作念「静态代码分析」，结尾误报率太高，根底无规定模化。

AgenticHarness的出现，成为了转机点。这套系统的中枢逻辑是——

一运行，团队在终局里手动盯着模子跑，调Prompt。

跑通之后，就运行并行化，在多台临时造谣机上同期运行，每台VM发挥扫描一个特定文献或函数。

值得一提的是，一朝Pipeline搭好，换模子等于一滑代码的事。

从Opus4.6切到MythosPreview，真的是无缝衔尾。

而况每次模子升级，整条Pipeline的后果皆会同步放大：发现能力更强，考证更精确，解说质料更高。

正如一些安全群众所言，「着实的杠杆可能不单在模子本人，而在Harness的工程能力」。

100多东说念主连夜加班，不是自动修bug

MythosPreview找到错误仅仅第一步。

博文中，BrianGrinstead说得很直白：每一个Bug，皆是一个工程师写补丁、另一个工程师作念CodeReview。

AI写的补丁只可当参考，不成径直部署。

为了消化这史无先例的错误巨流，跨越100名工程师参与了代码孝顺。

写补丁的、作念代码审查的、搭管说念的、作念分类的、测试确立的、管束发布经由的，全员上阵。

这是Firefox历史上最大限制的安全确立手脚，也出身了有史以来最安全的Firefox版块。

正靠近决：AnthropicVSOpenAI

Firefox的423个错误仅仅冰山一角。

在这场AI安万能力的竞赛中，Anthropic和OpenAI正沿着两条截然相悖的阶梯全速冲刺——

而两家的布局，还是见地到令东说念主窒息。

先看Anthropic这边。

4月初，ClaudeMythosPreview发布的同期，还祭出了一个「ProjectGlasswing」（玻璃翼筹画）。

Anthropic发布了我方有史以来最强的模子。然后，亲手把它关了起来。

他们宣称Mythos已在每一个主流操作系统和浏览器中发现了数千个高危错误，致使包括一个暗藏了27年的错误OpenBSD。

再看OpenAI这边。他们的阶梯恰恰相悖，尽可能时时地绽放。

Anthropic发布Mythos仅一周后，OpenAI火速跟进，发布了GPT-5.4-Cyber。TAC筹画同步膨大到数千名个东说念主防护者和数百个安全团队。

就在今天，GPT-5.5-Cyber已向TAC最高层级的用户绽放，不错用来猎杀错误、分析坏心软件、逆向工程袭击。

在官博先容中，GPT-5.5-Cyber在汇聚任务中的拿下了81.9%的得益。

OpenAI的逻辑很见地：考证身份→分级授权→尽可能多的防护者拿到尽可能强的火器。

如今世界杯官方认证平台，Anthropic和OpenAI皆在拚命建墙。但AI安万能力的扩散速率，可能比他们建墙的速率更快。