当Mozilla首席时刻官上月宣称，借助AI支持间隙检测，"零白天隙的末日已近"，"退守者终于有契机取得决定性告捷"时，外界的质疑声此伏彼起。毕竟，这一幕似曾清爽：悉心挑选几个AI的亮眼效果，略去那些可能让图景更为复杂的细节，任由炒作海浪滔滔上前。

恰是意志到外界的这份怀疑，Mozilla于近日发布了一篇深度著述，详备先容了其使用Anthropic Mythos——一款特意用于识别软件间隙的AI模子——在两个月内挖掘出Firefox 271个安全间隙的幕后历程。Mozilla工程师暗示，这次果真收场冲突的关节身分主要有两点：其一是模子自身智力的擢升，其二是Mozilla特意引诱了一套自界说"用具框架"，为Mythos分析Firefox源代码提供复古。

险些零误报

工程师们坦言，此前在AI支持间隙检测方面的尝试深受"无效输出"之苦。以往的典型作念法是，让模子分析一段代码，模子立时会生成看似合理的间隙论说，数目往往极为可不雅。相干词，一朝东谈主工引诱者潜入排查，就会发现其中多数细节均属模子"幻觉"。引诱者不得不重新干预多数元气心灵，用传统神气逐个核实间隙论说。

Mozilla隆起工程师Brian Grinstead在接管采访时暗示，Mozilla与Mythos的合营之是以不落俗套，中枢在于引入了智能体框架——一段包裹在大说话模子外层、指引其践诺一系列特定任务的代码。要让这套框架果真施展作用，需要干预多数资源，将其针对具体技俩的语义、用具链和进程进行深度定制。

Grinstead将团队构建的框架神气为"驱动大说话模子收场指认识代码。它向模子下达提示（举例：'找出这个文献中的间隙'），提供相足下具（举例允许其读写文献、践诺测试用例），然后轮回开动直至任务完成"。该框架让Mythos大意调用Mozilla东谈主工引诱者所使用的全套用具和进程，包括特意用于测试的Firefox特殊构建版块。

他进一步解释谈：

有了这套框架，唯有能界说出明晰且详情的告成信号或任务考证信号，就不错不休驱动模子合手续责任。在咱们查找内存安全问题时，会使用Firefox的sanitizer构建版块，一朝让它崩溃就意味着告成。咱们将智能体指向某个源文献，告诉它："咱们知谈这个文献里有问题，请去找出来。"它会构造测试用例，借助咱们现存的迷糊测试系统和用具来开动这些测试，并暗示："我认为唯有把HTML写成这么就会出问题。"测试用例发送给用具后，用具会给出是或否的判断。若是谜底是信服的，还会进行荒谬的考证。

这一荒谬考证法子由第二个大说话模子承担，厚爱对第一个大说话模子的输出进行评分。高分适度带给引诱者的置信度，与通过传统神气发现间隙所获取的置信度不相高下。

"从最终产出的间隙来看，险些莫得误报，"他说谈。

这次幕后走漏施行包括：公开271个间隙中的12个完好Bugzilla论说——这些间隙由Mythos发现，Claude Opus 4.6也有部分参与。每份论说均提供了触发不安全内存景况的测试用例（即相应的HTML或其他代码），且统共稳健Mozilla将其认定为Firefox安全间隙所条款的尺度。至少有别称规划东谈主员暗示，初步稽查这些论说后，认为其"卓绝有劝服力"。

Grinstead暗示，与此前泛滥的低质料间隙走漏不同，由框架指引的Mythos分析、经第二个大说话模子阐明、并最终纳入论说的详备信息，博亚体育app官网入口带给团队一种前所未有的信心。

"这恰是让咱们大意以现存领域合手续运作的关节，"他说，"它为工程师提供了一个不错径直操作的考证机制，明确见告'是的，这里确乎存在问题'，然后你就不错对代码进行迭代，明晰地知谈何时已成就问题，最终将测试用例纳入代码库，确保不会再出现顾虑。"

如前所述，Mozilla将AI支持间隙发现定性为"游戏规矩编削者"的说法，在诸多圈子里遭到了大领域、公开的质疑。月旦者领先嘲讽Mozilla莫得为这271个间隙苦求CVE编号。相干词与很多引诱者一样，Mozilla本就不为里面发现的安全间隙苦求CVE。这些间隙频频会被打包成一个融合补丁发布。平时情况下，记载这些"打包成就"施行的Bugzilla论说在成就后会瞒哄数月，以保护那些更新较慢的用户。如今Mozilla已公开其中十余份，相通的月旦者例必会宣称这些论说亦然悉心筛选的，背后瞒哄着更多不准确的适度。

在Mythos发现的271个间隙中，180个被美艳为sec-high，即Mozilla里面论说间隙中的最高档别。这类间隙可通过平时的用户行径触发，举例浏览某个网页。（独一更高的级别sec-critical仅用于零白天隙。）另有80个被评为sec-moderate，11个为sec-low。

月旦者的合手续质疑并非毫无道理。炒作是东谈主为拉高AI公司本已虚高估值的习用技能。Mozilla对Mythos不惜溢好意思之词，即即是相对信任的东谈主也未免会思：Mozilla究竟得到了什么汇报？这次的详备走漏非但莫得慈祥解论，反而很可能进一步激化争议。

相干词在Grinstead看来，这些细节已是AI支持间隙发现切实可用的有劲解释，Mozilla的动机也很浅易。

"往常一年充斥着各式低质料提交，各人皆也曾有些困倦了，是以咱们以为有必要展示咱们的责任过程，通达部分间隙论说，并更详备地加以先容，但愿以此鼓励一些手脚，或继续这方面的究诘，"他说，"这里面莫得任何营销目的。咱们团队也曾齐全认同了这套步履。咱们思传递的是对于这项时刻自身的信息，而非为某个特定的模子提供商、公司或其他任何方背书。"

Q&A

Q1：Mozilla使用Mythos发现间隙的中枢冲突是什么？

A：Mozilla这次收场冲突的关节有两点：一是Anthropic Mythos模子自身智力的擢升，二是Mozilla特意引诱了自界说"智能体框架"。该框架包裹在大说话模子外层，为其提供提示和用具，并指引其轮回践诺任务，同期允许Mythos调用Mozilla引诱者日常使用的用具链和测试版Firefox，从而大幅减少了误报，收场了"险些零误报"的效果。

Q2：Mythos发现的271个Firefox间隙严重进程若何？

A：在271个间隙中，180个被评为sec-high，是Mozilla里面论说的最高间隙级别，可通过用户平时浏览网页等行径触发；80个为sec-moderate（中品级别）；11个为sec-low（初级别）。这些间隙均未单独苦求CVE编号，而是按照Mozilla常规打包成融合补丁发布。

Q3：为什么外界对Mozilla的AI间隙检测效果合手怀疑派头？

A：月旦者认为Mozilla的作念法存在炒作嫌疑：未为间隙苦求CVE编号、公开的12份论说可能是悉心筛选的样本，且Mozilla对Mythos的高度吟唱令东谈主怀疑背后存在利益关系。此外，AI支持安全检测领域此前存在多数"幻觉"问题，业界对此已有警惕。Mozilla方面则强调无任何营销目的博亚体育app官网入口，并暗示景观公开更多细节以鼓励行业对话。