Mozilla 刚发了 Firefox 150 版本。这次最大的看点是,他们跟 Anthropic(就是做 Claude 的那个公司)合作,用了一套叫 Mythos Preview AI 的新模型,一口气扫出了 271 个安全漏洞。
为了让你有个概念,上个版本(Firefox 148)用旧模型只找到了 22 个。这一下涨到了 271 个,数据看着挺吓人的。说实话,这种“指数级”的增长虽然听着挺爽,但我心里还是有点打鼓——到底是不是真的全扫干净了?
为什么 AI 能这么猛?
以前找漏洞,要么靠机器随机乱撞(模糊测试),要么靠人工一个个看代码。这两种方法都有硬伤:
- 撞得不够广:机器很难试遍所有情况。
- 人看不过来:哪怕你给攻击者堆再多的钱,让他去试,他总能找到利用漏洞的口子。
Anthropic 这个新模型不一样,它像是给代码做了个“全身体检”,把那些藏得深的、机器撞不到、人容易漏掉的问题都挖出来了。
但这里有个挺现实的问题:谁在买单?
虽然 AI 这么好用,可开源圈里已经出现了一个新的麻烦——“安全不平等”。
- 干活的人少:很多热门开源项目其实就靠几个志愿者撑着,甚至有的项目早就没人维护了(也就是所谓的“僵尸项目”)。
- 谁能修,看钱袋子:大公司有钱,能招几千个工程师专门搞安全;小项目维护者往往就是那个写代码的人,他得一边干活一边自己修漏洞,累得够呛。
Mozilla 首席技术官 Raffi Krikorian 之前就提过这个担心。最要命的是,那些关键的基础设施(比如银行系统、政府网站)往往由志愿者维护,结果大公司免费用着这些服务,出了事却不一定负责。这就导致了“强者恒强,弱者更弱”的局面:有资源的公司越安全,没资源的小项目反而成了黑客的肥肉。
Mozilla 打算怎么办?
我知道完全解决这个问题很难,所以 Mozilla 也没打算搞“技术垄断”。他们现在的策略是“分蛋糕”:
- 把工具白送:他们打算把这套 AI 检测工具和经验直接开源,让社区也能用。
- 拉大家一把:目标不是让大厂独占 AI 红利,而是让那些小项目也能用得起,别让他们在安全上被落下。
总的来说,这次更新确实是个里程碑,证明了 AI 在查漏洞上有多猛。但真正的挑战才刚开始:怎么把这些技术红利公平地分给那些没资源的小团队,而不只是让大厂更爽。毕竟,如果连小项目都倒下了,整个开源生态的围墙还是会有缺口。
划重点:
- 成果:AI 帮 Mozilla 找到了 271 个以前没发现的漏洞。
- 变化:AI 能解决传统方法覆盖不全的毛病。
- 隐忧:开源圈里,大公司有资源修漏洞,小项目只能干瞪眼。
- 对策:Mozilla 打算把工具开源,大家一起用。
