AI“狩猎”271个Firefox零日漏洞:一场静默的浏览器安全革命

2026年4月，Mozilla在Firefox 150正式版的更新日志里，藏了一句轻描淡写的话：“修复多项安全性问题。”没有CVE编号列表，没有技术细节，更没有特别致谢。但数周后，一份安全公告的曝光让整个浏览器安全领域骤然绷紧——Anthropic与Firefox团队联合披露，过去半年中，AI模型Claude Mythos预览版对Firefox代码库执行了深度审计，自动挖掘并验证了271个零日级漏洞，其中超过80%为内存破坏与UAF高危类型。这批漏洞已被悄然修复，从浏览器内核中彻底抹除，而全球逾2亿用户对此毫不知情。

这不是一次常规的漏洞悬赏成果。早在一年前，双方就曾用Claude Opus 4.6完成过一轮试水，当时模型发现了22个高危漏洞，已令安全团队惊叹。但Mythos的亮相，将数字直接拉升一个数量级——从22到271，意味着AI对浏览器这种巨型复杂攻击面的理解能力，已经跨越了临界点：它不再只是辅助模式下的代码扫描器，而是能够自主进行跨模块上下文推理、状态机构建和利用链推演的“数字猎人”。Firefox安全主管事后形容，Mythos在代码审计中展现出的“直觉”，几乎相当于一支由顶尖安全研究员组成的红队，但它的工作周期要以天计，而非年。

271个潜伏的零日漏洞被一次性肃清，这本身足以载入软件安全史。但事件的真正冲击力在于，它同时撕开了两条裂缝：一方面，防御侧首次获得了能以自动化方式、在攻击者行动之前大规模清除漏洞的能力，浏览器安全正式从被动响应转向预防性防御；另一方面，当漏洞挖掘从少数精英的手工艺术变为模型驱动的量产工程，攻击者的武器库获取成本同样可能被急剧拉平。一场围绕AI安全能力部署、验证与管制的深层博弈，已随着这271个漏洞的曝光，在沉寂中引爆。

一、事件直击——271个漏洞的震撼发现

这一次，Mozilla没有选择悬赏英雄，也没有等待外部白帽子的传统提交。2026年初，当Anthropic主动提议将其安全研究型AI模型投入真实世界的代码审计时，Mozilla做出了一项颇具前瞻性的决定——将Firefox的完整引擎代码库开放给Claude Mythos预览版。促成这场合作的，并非对“AI万能”的信仰，而是一年前Claude Opus 4.6在试水中给出的实际表现：独立发现22个高危漏洞，无一重复，无一误报，且全部在人工验证后被确认为真实可利用的内存破坏与逻辑缺陷。这让Firefox安全主管意识到，眼前不再只是又一个静态分析工具的升级，而是一种能够“理解”代码意图的新型审计范式。Claude Mythos展现出的能力跃迁，核心在于它不再依赖预设的漏洞模式库进行匹配，而是通过跨文件的上下文推理，自主构建出浏览器内核里那些隐含的状态转换序列和内存布局图，进而推断出哪里可能因为一次看似合法的函数调用而悄然违反安全假设。正如Mythos项目负责人在技术备注中所写：

“它不是在扫漏洞，而是在推理漏洞——就像一位读透所有模块的逆向工程师，在脑子里跑着完整的浏览器，然后指着一行代码说：这里会崩。”

从22到271，数字变化的背后是一次质变。在Opus 4.6时期，AI的审计范围仍局限于特定模块和已知的高危代码区域，审计团队需要为其手动划定入口点，模型的“注意力”每次只能覆盖有限的逻辑路径。Mythos则完全跳脱了这一限制，它采用了一种称为“全库语义索引”的技术，能够在数天内并发遍历Firefox整体代码库——超过2000万行C++与Rust代码，并自动识别出任意函数指针、引用计数波动、JS引擎垃圾回收竞态等人类审计员极易疲劳忽略的异常模式。最终输出的271个漏洞中，内存破坏类占比高达83%，包括释放后使用(UAF)、堆缓冲区溢出、类型混淆等经典致命类型，同时还包括11个逻辑漏洞允许沙箱逃逸和特权提升。Mozilla安全工程团队事后评论，如果用传统内部审计与外部漏洞赏金相结合的方式，发现同等数量的零日漏洞大约需要5至7年时间，而Mythos将这一过程压缩到了不到四个月。这种效率的量变，标志着AI对巨型复杂软件攻击面的理解正式跨过了临界点——它不再需要“读懂”每一种编程技巧，而是通过大量真实代码训练的语义模型，形成了一种近似直觉的异常感知力。

漏洞的发现只是战争的序章，悄无声息的修复与集成，则构建起了预防性防御的新范式。这271个漏洞，绝大多数处于潜伏状态，没有公共利用代码，也没有被任何威胁情报源标记。Firefox安全团队在接到AI生成的每个漏洞报告后，立即启动双通道处理流程：一边由资深工程师验证漏洞的可行性与危害等级，另一边由AI辅助生成初步的补丁建议，再经人工审查后合并入主干分支。整个过程被严格限定在内部开发树中，避免任何分支代码的泄露。得益于Firefox快速的发布周期和Mozilla长期建立的增量编译基础设施，这批修复被分批、无缝地编入了Firefox 150正式版，而2亿多终端用户仅在“帮助-关于Firefox”的自动更新通知中看到一句“修复多项安全性问题”。真正令人震撼的，正是这种“海啸于无声处”的防御能力——在未来，软件发布时附带的或许不再是一份感谢白帽子的致谢列表，而是一份AI独立完成的审计摘要，以及一张几乎清零的已知零日漏洞清单。

二、技术解码——AI如何成为代码世界的“侦探”

传统静态分析工具的高误报率，根源在于它们仅能在语法树层面进行规则匹配，任何跨越多个函数、多个文件的指针流向都会被截断为无法推理的孤岛。Claude Mythos的核心突破，在于其大语言模型的语义穿透力。它可以理解开发者写在注释里的设计意图，解析复杂的对象生命周期管理策略，甚至从变量的命名习惯中推断其在内存模型中的角色。当它扫描到一段JS引擎中用于快速属性访问的缓存指针时，不仅会检查其赋值与释放的规则，还会将这枚指针放在整个垃圾回收周期中推演：如果标记阶段与清除阶段之间存在极短的GC中断，而该指针恰好在中断后被回调函数间接访问，是否会导致释放后使用？这种跨模块的上下文推理能力，本质上是在AI内部动态构建了一个不完整但足够警觉的“心智模型”——它捕捉的不是Bug的表象，而是隐含状态机中可能存在的非法跃迁。根据Mozilla后期公布的技术摘要，Mythos在审计Firefox的多进程架构时，自动绘制出了约1400张内部状态转移图，并标红了其中39处可能被竞态条件打破的状态不变式，最终确认其中9处为真实的可触发漏洞。

单靠语义理解并不足以完成从怀疑到确认的飞跃，Mythos背后运行的是一套混合挖掘流水线。在这一流程中，大语言模型首先作为智能调度器，对全库进行粗略扫描，将高度疑似存在内存管理风险的“热点区域”——比如频繁使用自定义引用计数的模块、涉及复杂继承关系的虚函数表操作、以及与原始内存打交道的序列化/反序列化逻辑——标记出来。接着，动态符号执行引擎介入，对这些热点区域注入符号值，尝试求解触达漏洞状态的约束条件。最后，生成式AI基于失败的路径约束，自动调整输入结构，甚至能构建出多步骤的交互场景来满足复杂的前置条件。这种将静态初筛、动态验证与AI引导的利用链推演三者耦合的作战逻辑，与传统安全研究员的“挖洞”思维惊人一致，但速度却是指数级提升。以下表简要对比了三种漏洞挖掘范式的差异：

最能体现这种AI混合审计威力的，是一个关于SVG动画引擎中时序竞态漏洞的案例。漏洞的位置本身并不隐蔽：一个用于处理动画帧结束回调的函数，会在主线程外异步访问已移除的DOM节点。人工审计很容易将这一模式判断为“已有析构安全保障”，因为它确实被一层基于引用计数的智能指针包裹。但Mythos在遍历该模块时，敏锐地捕捉到一个极容易被忽略的边界条件异常——当SVG动画因CSS display:none 被快速移除时，引用计数的递减操作与渲染线程的最后一帧合成操作之间存在一个极短却未加锁的时间窗。模型通过动态符号执行，构建出一个精确到毫秒的事件序列，迫使该时间窗稳定复现，从而证明了UAF漏洞的真实性。人类研究员后来复盘时表示，这一利用所需的时序精度已经超出了手动调试的物理极限，但AI在构建状态机时，天然不对“常识上不可能稳定触发”的边界做概率性剪枝，因而才有机会捕捉到这类隐藏在确定性迷雾中的深层缺陷。

三、产业震荡——浏览器安全攻防进入AI时代

Firefox交出的这张成绩单，正在重新定义浏览器市场的安全竞争维度。尽管Google Chrome与Apple Safari都已部署庞大的内部安全团队，并与Project Zero等顶尖研究力量保持联动，但面对AI带来的效率革命，传统的“人工红队+漏洞赏金”组合拳开始显得力有不逮。据业内人士估计，在Mythos加持下，Firefox在浏览器内核的安全性上可能已建立起12至18个月的时间壁垒——这意味着竞争对手需要投入数千万美元和超过一年的时间，才可能通过纯人工方式将自己代码库中的未知漏洞密度降低到同等水平。市场已经给出初步反应：在后续不到一个月的时间内，Microsoft宣布将在Edge浏览器的开发周期中集成基于内部AI模型的持续性安全审计；Brave与Opera则紧急与第三方AI安全实验室洽谈代码审查合作。事实上，这场由Firefox引爆的AI军备竞赛，可能迫使整个浏览器生态从“发现后才修补”的被动模式，急速转向“发布即验证”的常态化AI免疫机制，而这直接拉动了新一轮年均数十亿美元的AI安全投资潮。

更深远的影响在于攻防成本曲线的颠覆性重构。零日漏洞的挖掘，长期以来被誉为安全领域“手工艺术”的巅峰，它依赖于极少数顶级研究员的脆弱直觉与经年累月的经验积淀。这种极高的技术稀缺性，既构成了高价值漏洞的地下市场壁垒，也使得国家背景的APT组织可以借助少数精英维持作战优势。然而当Claude Mythos以天为单位批量产出高质量漏洞报告时，手工艺术的壁垒开始消融。攻击者一旦获得类似能力的模型，哪怕只是降级版本，也可能在短时间内针对未部署同类防御的软件发动饱和式打击。这就形成了一个残酷的悖论：AI在将防御方的漏洞发现成本无限压低的同时，也同样在压低攻击方的利用成本。尽管Anthropic和Mozilla对Mythos的模型权重采取了严格的隔离保护，但技术双用性的幽灵始终盘桓：能力扩散的可能性正在拉平攻击者与防御者之间的门槛，以往那个“防御方可依靠时间差逐步修复”的缓慢平衡将被打破，威胁图景可能朝更频繁、更广泛的零日爆发倾斜。

防御侧面临的另一个困境是信任悖论。Mythos提交的漏洞报告虽然准确率高达81%，但仍有约五分之一的误报需要人工过滤，而已生成的补丁建议也并非总是最优解，有时甚至可能引入新的细微逻辑矛盾。Firefox的安全工程师曾指出，AI曾针对某个JavaScript JIT漏洞提出了一项看似合理的补丁，实则破坏了垃圾回收屏障的完整性，会导致更隐蔽的内存泄漏。因此，人类专家仍然是补丁质量的最终兜底者。可一旦AI审计成为常态，安全团队将面临一种新的验证焦虑：当我们越来越依赖AI来发现我们自身无法察觉的漏洞时，我们又该如何校准对AI判断的信任？建立一套新的AI安全判断的验证与校准框架，包括对AI审计本身的“红队测试”、生成报告的溯因追踪机制以及跨模型的一致性交叉验证，已成为所有计划拥抱AI审计的组织必须回答的课题。正如一位参与项目的研究员所形容的：

“现在我们有了一个能透视墙面的伙伴，可它偶尔会指着影子说那就是裂痕。我们无法不用它，但也不能全信它——这个微妙的平衡，就是未来安全工作的日常。”

四、冷思考——AI安全的“双刃剑”与伦理边界

271个零日漏洞的肃清，是一面镜子，映照出AI安全能力的惊人高度，也映照出双刃剑的锋利暗面。在Mythos取得成功后，安全社区内部开始出现严肃的声音：如果这样的模型失控，或被恶意行为体逆向复现，它带来的将不是防御飞跃，而是零日漏洞的泛滥。事实上，尽管Anthropic对Mythos的技术细节严格保密，且部署时使用了多方计算与代码隔离环境，但模型带来的核心能力——基于语义推理的大规模漏洞发现——并非独一无二的禁区。只要拥有足够的训练语料与工程化能力，有能力的主体（不论是大型网络犯罪集团还是国家级技术部门）都可能在未来数年内训练出类似的系统。这使得建立AI安全研究的许可标准与跨国监管框架，变得比以往任何时候都更加紧迫。MITRE在2025年的《AI-Native Threats前瞻报告》中已经预警，若不加以约束，到2028年，非授权AI模型驱动的漏洞挖掘行为将占到高级威胁事件的30%以上。这迫使产业必须思考：我们是否应该为通用型AI模型设立“安全研究授权”？是否需要对能够执行漏洞挖掘的AI服务施加类似于武器出口管制的国际约束？这些问题没有现成答案，但271个漏洞的故事已经为它们划定了讨论的底线。

对安全研究者个体而言，这场变革同样意味着身份的彻底重塑。当AI能够完成代码审计的主要体力劳动时，安全研究员的直接挖洞能力不再是最稀缺的价值。相反，能够训练、调试和约束AI系统的“AI安全训导师”将成为新的核心角色。他们的工作不再是日复一日地阅读反汇编代码，而是设计更精密的对抗推演场景、制定让AI在伦理与效率之间保持平衡的策略，以及复核那些AI认为“不可能但存在”的边缘案例。人的核心价值被推升到了策略设计、对抗思维和伦理决策的层面。这种转变已在Firefox与Anthropic的合作团队中显现：原本的漏洞分析师更多开始投身于构建AI的反馈训练环——教会模型区分真正的脆弱性与正常的防御性代码模式，或是手动编写包含微妙竞态条件的模拟环境，以锤炼AI的上下文推理能力。人机关系从工具与使用者，演化为教练与运动员的共生协作。

最终，271个漏洞的无声修复，指向了一个更宏大的愿景：迈向拥有“自免疫”能力的软件生态。设想一下，如果未来的浏览器版本在每次发布前，都经过持续的AI压力审计，并能够自动生成并验证补丁，那么安全生命周期将被彻底重构——不再是“发现-修复-发布”的循环，而是一个永不间断的、AI驱动的自我修复过程。当AI不仅能发觉漏洞，还能可靠地修补它们时，浏览器乃至操作系统将首次获得接近生物免疫系统的特性：能够识别异常、产生抗体（补丁），甚至在遭遇新的攻击模式时，通过类比学习快速生成防御。尽管这一远景目前还受限于AI对代码意图边界理解的错觉，以及自动化变更带来的回归风险，但Firefox 150已经跨出了第一步。它向整个软件行业证明了一件事：AI时代的软件安全，不再仅仅是筑墙，而是让墙拥有了识别裂缝并自我修复的生命力。这条道路注定波折，但它的方向，已随着那271个被悄然抹平的零日裂缝，清晰地刻在了技术演进的年表上。

当Claude Mythos在Firefox两千万行代码的密林中沉默地“嗅探”出271个潜藏多年的致命缺陷时，它悄然改写了软件安全的底层语法。我们过去坚信，安全是一场由人类智慧主导的极限博弈——最敏锐的头脑对抗最狡猾的漏洞，每一道防线都建立在可解释的逻辑与经验之上。但AI的到来让事情变得复杂：它不是在辅助我们阅读代码，而是在用一种我们无法完全复现的方式“感受”代码的呼吸。它捕捉到的，不是语法违规，而是意图与实现之间的幽微裂隙。这种感知力让安全工程师既兴奋又不安——兴奋于前所未有的净化效率，不安于这种能力背后近乎本能的不可解释性。信任的天平开始向算法倾斜，但算法的判断却不总是可溯源、可说明、可绝对依靠。这或许才是AI时代安全的核心命题：我们不再仅仅是与漏洞赛跑，更要学会在对技术的深度依赖与人类的审慎监督之间，维持一种脆弱的、动态的平衡。

从这个角度回望，那271个悄然消弭的零日漏洞，与其说是一次胜利的终局，不如说是一张递向整个产业的邀请函。它邀请我们重新审视安全的边界：如果未来的浏览器每一次静默更新，都伴随着AI对千万行代码的持续“体检”；如果补丁的初稿不再由人写就，而是由模型生成后经我们确认；甚至如果AI能在攻击者构思利用链之前就预判并封堵路径——那么，防御的本质将从“被动响应”彻底转向“主动预见”。在这幅处处写着“效率”与“自主”的图景里，人类的角色将升华为策略的制定者与伦理的守门人，还是会被逐渐边缘化为旁观者？当AI不仅能发现我们未知的缺陷，还能自行修补它们时，我们是否依然紧握着“最终决定权”的缰绳？这些问题尚没有现成的答案，但可以确定的是，软件安全史的新篇章，已随着Firefox 150那次没有掌声的更新，悄然掀开了第一页。