作者haiduc (小火柴)
看板Browsers
標題[-Fx-] 一次修復 Firefox 150 的 271 個漏洞:An
時間Sat Apr 25 19:45:26 2026
一次修復 Firefox 150 的 271 個漏洞:Anthropic「Claude Mythos」究竟有多強?
小治 發表於 2026年4月24日 16:00
https://pse.is/8z3lbp
隨著 Firefox 150 的正式發布,Mozilla 揭露了一項令資安界震撼的合作成果:透過
Anthropic 專門開發的防禦型 AI 模型「Claude Mythos Preview」,Firefox 在單一版
本更迭中成功掃描並修復了高達 271 個安全漏洞。這不僅是 Mozilla 近年來規模最大的
安全性更新之一,也標誌著「AI 輔助防禦」正式進入實戰階段。
「Project Glasswing」:被封印的防禦利刃
本次使用的「Claude Mythos」並非一般大眾所能接觸到的 Claude 系列模型。它是
Anthropic 於 2026 年 4 月 7 日公開宣布的計畫:代號「Project Glasswing」的核心
,專為資安攻防、程式碼硬化與漏洞發現所設計。
由於 Claude Mythos 具備自主發現零日漏洞與開發複雜漏洞利用(Exploits)的強大能
力,Anthropic 並未將其公測,僅提供給 Amazon、Apple、Cisco、Google、Microsoft
等約 40 個關鍵基礎設施夥伴以及 Mozilla,確保技術被用於「防禦端」而非惡意攻擊。
漏洞修復數據概覽
在本次 Firefox 150 的更新中,總修復數量驚人,以下是本次更新的數據概覽:
統計項目 數值 / 描述
總修復漏洞數 271(Mythos 識別之個別程式碼缺陷)
獲分配 CVE 編號數 41(正式漏洞揭露之標準計量單位)
主要發現類型 緩衝區溢位、use-after-free、非預期代碼路徑執行
掃描方式 逐檔優先排序,多輪平行掃描
參與模型 Claude Mythos Preview
數字說明:271 為 Mythos 識別之個別程式碼缺陷總數,許多被歸入 CVE 套組中;41 個
CVE 才是業界標準漏洞揭露流程的正式計量單位。兩者衡量的是不同的東西。
Mozilla 與 Anthropic 的合作始於今年 2 月,當時使用 Claude Opus 4.6 掃描了近
6,000 個 C++ 檔案,產出 112 份報告,其中 22 個確認為安全敏感漏洞,已收錄於
Firefox 148 的更新中,其中 14 個屬高嚴重性。Mythos Preview 的評估結果超過前者
的 12 倍。
AI 是倍增器,而非替代品
Bobby Holley 在聲明中指出,這 271 個漏洞並非「人類無法發現」,而是因數量龐大且
隱蔽性高,傳統人工審計往往需耗費數月甚至數年才能逐一排查。
不過 Holley 也提到「Defenders finally have a chance to win, decisively(防禦方
終於有機會取得決定性優勢)」,並形容團隊在面對 Mythos 掃描結果時產生了「
vertigo(目眩)」般的衝擊。他強調,Mozilla 至今尚未發現任何漏洞是 AI 能找出、
但頂尖人類研究員無法識別的案例;這對防禦端反而是利多:「機器可發現」與「人類可
發現」之間的落差正在縮小,將進一步削弱攻擊方長期以來的不對稱優勢。
值得關注:Mythos 在宣布當天遭未授權存取
值得注意的是,根據 Bloomberg 等多家媒體的報導,在 Project Glasswing 公開宣布的
同一天,一群未授權用戶透過 Anthropic 第三方廠商環境取得了 Mythos Preview 的存
取權。該群組透過猜測模型的 URL 位置以及利用第三方廠商內部人員的協助,成功繞過
存取限制。
Anthropic 已發表聲明表示正在調查此事,並確認目前無跡象顯示該存取已擴及
Anthropic 自身系統之外。這起事件引發外界對 Glasswing 模型管控嚴密程度的質疑,
也為本文所描述的「封鎖式防禦部署」策略增添了現實的複雜性。
儘管 Firefox 150 一次修復大量漏洞讓部分用戶擔心過往版本的安全性,但業界普遍認
為這是軟體工程的必然趨勢。在日益自動化的惡意攻擊面前,將 AI 深度整合進安全審計
流程,正被視為現代軟體開發的重要方向,儘管如何確保這類強大工具本身的安全管控,
仍是有待解決的挑戰。
資料來源:
Mozilla Blog — The zero-days are numbered(Bobby Holley, 2026/04/21)
↓
https://reurl.cc/8e9gW4
Anthropic — Project Glasswing 官方頁面
↓
https://www.anthropic.com/project/glasswing
TechCrunch — Unauthorized group has gained access to Anthropic's exclusive
cyber tool Mythos
↓
https://pse.is/8z3ln7
https://www.techbang.com/posts/128990-claude-mythos-fixes-firefox-bugs
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.6.238 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1777117530.A.EBE.html
1F:→ cys070: 上個版本就有用這家AI找漏洞 04/25 21:23
2F:→ hijacker: 可以不要只找漏洞 可以讓fx效能快一點嗎 04/26 17:45
3F:推 ltytw: 效能快慢要看用什麼benchmark吧 04/26 18:28
4F:→ ltytw: google的網站就... 04/26 18:29
5F:推 MK47: 有種挑戰YOUTUBE跟GOOGLE MAP(大誤) 04/26 22:05
6F:→ howzming: 它可以幫忙瀏覽器節省記憶體嗎? 04/27 00:02
7F:→ hijacker: 看twitch 聊天室人一多就lag了 04/27 01:17
8F:→ rick: twitch以前是不是沒這麼卡 是不是twitch搞鬼?? 04/27 20:28
9F:→ rick: 不過我好久沒看twitch了... 國動都回來了 Orz 04/27 20:31
10F:推 dosiris: 這版會對應到ESR的哪一版 04/28 09:49
11F:→ cys070: 安全性修正找出來,應該ESR也會跟著修正 04/29 09:11
12F:推 dosiris: 對喔 謝謝 04/29 11:46