当Mozilla首席时刻官上月宣称，借助AI扶直缺点检测，"零日缺点的末日已近"，"防护者终于有契机取得决定性到手"时，外界的质疑声雄起雌伏。毕竟，这一幕似曾相识：尽心挑选几个AI的亮眼限制，略去那些可能让图景更为复杂的细节，任由炒作波涛滔滔上前。

恰是强壮到外界的这份怀疑，Mozilla于近日发布了一篇深度著作，详备先容了其使用Anthropic Mythos——一款有利用于识别软件缺点的AI模子——在两个月内挖掘出Firefox 271个安全缺点的幕后历程。Mozilla工程师暗示，这次着实达成冲突的要津成分主要有两点：其一是模子自身才智的栽种，其二是Mozilla有利征战了一套自界说"用具框架"，为Mythos分析Firefox源代码提供撑握。

确实零误报

工程师们坦言，此前在AI扶直缺点检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子立地会生成看似合理的缺点论述，数目频频极为可不雅。议论词，一朝东谈主工征战者久了排查，就会发现其中无数细节均属模子"幻觉"。征战者不得不从头干涉无数元气心灵，用传统面貌逐个核实缺点论述。

Mozilla了得工程师Brian Grinstead在接收采访时暗示，Mozilla与Mythos的互助之是以不同凡响，中枢在于引入了智能体框架——一段包裹在谣言语模子外层、携带其实践一系列特定任务的代码。要让这套框架着实施展作用，需要干涉无数资源，将其针对具体技俩的语义、用具链和历程进行深度定制。

Grinstead将团队构建的框架面貌为"驱动谣言语模子达成主义的代码。它向模子下达提醒（举例：'找出这个文献中的缺点'），提供相期骗具（举例允许其读写文献、实践测试用例），然后轮回脱手直至任务完成"。该框架让Mythos约略调用Mozilla东谈主工征战者所使用的全套用具和历程，包括有利用于测试的Firefox很是构建版块。

他进一步解释谈：

有了这套框架，只有能界说出了了且细主义到手信号或任务考证信号，就不错逼迫驱动模子握续使命。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着到手。咱们将智能体指向某个源文献，告诉它："咱们知谈这个文献里有问题，请去找出来。"它会构造测试用例，借助咱们现存的糊涂测试系统和用具来脱手这些测试，并暗示："我认为只有把HTML写成这么就会出问题。"测试用例发送给用具后，用具会给出是或否的判断。淌若谜底是笃信的，还会进行稀零的考证。

这一稀零考证步履由第二个谣言语模子承担，认真对第一个谣言语模子的输出进行评分。高分限制带给征战者的置信度，与通过传统面貌发现缺点所得到的置信度不相高下。

"从最终产出的缺点来看，确实莫得误报，"他说谈。

这次幕后袒露现实包括：公开271个缺点中的12个好意思满Bugzilla论述——这些缺点由Mythos发现，Claude Opus 4.6也有部分参与。每份论述均提供了触发不安全内存情状的测试用例（即相应的HTML或其他代码），且一谈合适Mozilla将其认定为Firefox安全缺点所条目的圭臬。至少有别称议论东谈主员暗示，初步稽查这些论述后，认为其"相当有劝服力"。

Grinstead暗示，与此前泛滥的低质地缺点袒露不同，由框架携带的Mythos分析、经第二个谣言语模子说明、并最终纳入论述的详备信息，斗鱼体育官网带给团队一种前所未有的信心。

"这恰是让咱们约略以现存界限握续运作的要津，"他说，"它为工程师提供了一个不错奏凯操作的考证机制，明确陈述'是的，这里如实存在问题'，然后你就不错对代码进行迭代，了了地知谈何时已成立问题，最终将测试用例纳入代码库，确保不会再出现回来。"

如前所述，Mozilla将AI扶直缺点发现定性为"游戏纪律更正者"的说法，在诸多圈子里遭到了大界限、公开的质疑。月旦者领先嘲讽Mozilla莫得为这271个缺点肯求CVE编号。议论词与很多征战者一样，Mozilla本就不为里面发现的安全缺点肯求CVE。这些缺点时常会被打包成一个和洽补丁发布。浅显情况下，纪录这些"打包成立"现实的Bugzilla论述在成立后会荫藏数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，雷同的月旦者例必会宣称这些论述亦然尽心筛选的，背后荫藏着更多不准确的限制。

在Mythos发现的271个缺点中，180个被标志为sec-high，即Mozilla里面论述缺点中的最高档别。这类缺点可通过浅显的用户算作触发，举例浏览某个网页。（独一更高的级别sec-critical仅用于零日缺点。）另有80个被评为sec-moderate，11个为sec-low。

月旦者的握续质疑并非毫无理由理由。炒作是东谈主为拉高AI公司本已虚高估值的习用技巧。Mozilla对Mythos不惜溢好意思之词，即就是相对信任的东谈主也未免会思：Mozilla究竟得到了什么答复？这次的详备袒露非但莫得暄和解论，反而很可能进一步激化争议。

议论词在Grinstead看来，这些细节已是AI扶直缺点发现切实可用的有劲解说，Mozilla的动机也很简便。

"已往一年充斥着多样低质地提交，环球王人照旧有些疲钝了，是以咱们以为有必要展示咱们的使命过程，绽开部分缺点论述，并更详备地加以先容，但愿以此鼓动一些行动，或连续这方面的筹商，"他说，"这里面莫得任何营销主义。咱们团队照旧透彻认同了这套方式。咱们思传递的是对于这项时刻本人的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现缺点的中枢冲突是什么？

A：Mozilla这次达成冲突的要津有两点：一是Anthropic Mythos模子自身才智的栽种，二是Mozilla有利征战了自界说"智能体框架"。该框架包裹在谣言语模子外层，为其提供提醒和用具，并携带其轮回实践任务，同期允许Mythos调用Mozilla征战者日常使用的用具链和测试版Firefox，从而大幅减少了误报，达成了"确实零误报"的效果。

Q2：Mythos发现的271个Firefox缺点严重进度奈何？

A：在271个缺点中，180个被评为sec-high，是Mozilla里面论述的最高缺点级别，可通过用户浅显浏览网页等算作触发；80个为sec-moderate（中品级别）；11个为sec-low（初级别）。这些缺点均未单独肯求CVE编号，而是按照Mozilla老例打包成和洽补丁发布。

Q3：为什么外界对Mozilla的AI缺点检测限制握怀疑魄力？

A：月旦者认为Mozilla的作念法存在炒作嫌疑：未为缺点肯求CVE编号、公开的12份论述可能是尽心筛选的样本，且Mozilla对Mythos的高度赞叹令东谈主怀疑背后存在利益相干。此外，AI扶直安全检测界限此前存在无数"幻觉"问题斗鱼体育官网，业界对此已有警惕。Mozilla方面则强调无任何营销主义，并暗示餍足公开更多细节以鼓动行业对话。