作者haiduc (小火柴)
看板Browsers
标题[-Fx-] 一次修复 Firefox 150 的 271 个漏洞:An
时间Sat Apr 25 19:45:26 2026
一次修复 Firefox 150 的 271 个漏洞:Anthropic「Claude Mythos」究竟有多强?
小治 发表於 2026年4月24日 16:00
https://pse.is/8z3lbp
随着 Firefox 150 的正式发布,Mozilla 揭露了一项令资安界震撼的合作成果:透过
Anthropic 专门开发的防御型 AI 模型「Claude Mythos Preview」,Firefox 在单一版
本更迭中成功扫描并修复了高达 271 个安全漏洞。这不仅是 Mozilla 近年来规模最大的
安全性更新之一,也标志着「AI 辅助防御」正式进入实战阶段。
「Project Glasswing」:被封印的防御利刃
本次使用的「Claude Mythos」并非一般大众所能接触到的 Claude 系列模型。它是
Anthropic 於 2026 年 4 月 7 日公开宣布的计画:代号「Project Glasswing」的核心
,专为资安攻防、程式码硬化与漏洞发现所设计。
由於 Claude Mythos 具备自主发现零日漏洞与开发复杂漏洞利用(Exploits)的强大能
力,Anthropic 并未将其公测,仅提供给 Amazon、Apple、Cisco、Google、Microsoft
等约 40 个关键基础设施夥伴以及 Mozilla,确保技术被用於「防御端」而非恶意攻击。
漏洞修复数据概览
在本次 Firefox 150 的更新中,总修复数量惊人,以下是本次更新的数据概览:
统计项目 数值 / 描述
总修复漏洞数 271(Mythos 识别之个别程式码缺陷)
获分配 CVE 编号数 41(正式漏洞揭露之标准计量单位)
主要发现类型 缓冲区溢位、use-after-free、非预期代码路径执行
扫描方式 逐档优先排序,多轮平行扫描
参与模型 Claude Mythos Preview
数字说明:271 为 Mythos 识别之个别程式码缺陷总数,许多被归入 CVE 套组中;41 个
CVE 才是业界标准漏洞揭露流程的正式计量单位。两者衡量的是不同的东西。
Mozilla 与 Anthropic 的合作始於今年 2 月,当时使用 Claude Opus 4.6 扫描了近
6,000 个 C++ 档案,产出 112 份报告,其中 22 个确认为安全敏感漏洞,已收录於
Firefox 148 的更新中,其中 14 个属高严重性。Mythos Preview 的评估结果超过前者
的 12 倍。
AI 是倍增器,而非替代品
Bobby Holley 在声明中指出,这 271 个漏洞并非「人类无法发现」,而是因数量庞大且
隐蔽性高,传统人工审计往往需耗费数月甚至数年才能逐一排查。
不过 Holley 也提到「Defenders finally have a chance to win, decisively(防御方
终於有机会取得决定性优势)」,并形容团队在面对 Mythos 扫描结果时产生了「
vertigo(目眩)」般的冲击。他强调,Mozilla 至今尚未发现任何漏洞是 AI 能找出、
但顶尖人类研究员无法识别的案例;这对防御端反而是利多:「机器可发现」与「人类可
发现」之间的落差正在缩小,将进一步削弱攻击方长期以来的不对称优势。
值得关注:Mythos 在宣布当天遭未授权存取
值得注意的是,根据 Bloomberg 等多家媒体的报导,在 Project Glasswing 公开宣布的
同一天,一群未授权用户透过 Anthropic 第三方厂商环境取得了 Mythos Preview 的存
取权。该群组透过猜测模型的 URL 位置以及利用第三方厂商内部人员的协助,成功绕过
存取限制。
Anthropic 已发表声明表示正在调查此事,并确认目前无迹象显示该存取已扩及
Anthropic 自身系统之外。这起事件引发外界对 Glasswing 模型管控严密程度的质疑,
也为本文所描述的「封锁式防御部署」策略增添了现实的复杂性。
尽管 Firefox 150 一次修复大量漏洞让部分用户担心过往版本的安全性,但业界普遍认
为这是软体工程的必然趋势。在日益自动化的恶意攻击面前,将 AI 深度整合进安全审计
流程,正被视为现代软体开发的重要方向,尽管如何确保这类强大工具本身的安全管控,
仍是有待解决的挑战。
资料来源:
Mozilla Blog — The zero-days are numbered(Bobby Holley, 2026/04/21)
↓
https://reurl.cc/8e9gW4
Anthropic — Project Glasswing 官方页面
↓
https://www.anthropic.com/project/glasswing
TechCrunch — Unauthorized group has gained access to Anthropic's exclusive
cyber tool Mythos
↓
https://pse.is/8z3ln7
https://www.techbang.com/posts/128990-claude-mythos-fixes-firefox-bugs
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.160.6.238 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1777117530.A.EBE.html
1F:→ cys070: 上个版本就有用这家AI找漏洞 04/25 21:23
2F:→ hijacker: 可以不要只找漏洞 可以让fx效能快一点吗 04/26 17:45
3F:推 ltytw: 效能快慢要看用什麽benchmark吧 04/26 18:28
4F:→ ltytw: google的网站就... 04/26 18:29
5F:推 MK47: 有种挑战YOUTUBE跟GOOGLE MAP(大误) 04/26 22:05
6F:→ howzming: 它可以帮忙浏览器节省记忆体吗? 04/27 00:02
7F:→ hijacker: 看twitch 聊天室人一多就lag了 04/27 01:17
8F:→ rick: twitch以前是不是没这麽卡 是不是twitch搞鬼?? 04/27 20:28
9F:→ rick: 不过我好久没看twitch了... 国动都回来了 Orz 04/27 20:31
10F:推 dosiris: 这版会对应到ESR的哪一版 04/28 09:49
11F:→ cys070: 安全性修正找出来,应该ESR也会跟着修正 04/29 09:11
12F:推 dosiris: 对喔 谢谢 04/29 11:46