幕后：用 Claude Mythos Preview 加固 Firefox

幕后：用 Claude Mythos Preview 加固 Firefox

这篇文章提供了很有意思且深入的细节，介绍 Mozilla 如何利用他们对 Claude Mythos preview 的访问权限，在 Firefox 中定位并修复数百个漏洞：

突然之间，这些 bug 变得很有价值

就在几个月前，AI 生成的、提交给开源项目的安全 bug 报告，大多还以不受欢迎的 slop 著称。处理那些看起来似乎正确但实际错误的报告，会给项目维护者带来不对称成本：prompt 一个 LLM 在代码中找出一个“问题”既便宜又容易，但回应它却缓慢且昂贵。

很难夸大这种局面在短短几个月内对我们发生了多大变化。这主要来自两个因素的共同作用。第一，模型能力强了很多。第二，我们显著改进了利用这些模型的技术——引导它们、扩展它们，并将它们堆叠起来，以生成大量 signal，同时过滤掉 noise。

文章还包含一些详细的 bug 描述，包括一个有 20 年历史的 XSLT bug，以及一个有 15 年历史的 element 中的 bug。

harness 的许多尝试都被 Firefox 现有的 defense-in-depth 措施拦截了，这一点令人安心。

2025 年，Mozilla 每月大约修复 20-30 个 Firefox 安全 bug。到 4 月，这个数字跃升至 423。

Via Lobste.rs

Tags: firefox, mozilla, security, ai, generative-ai, llms, anthropic, claude, ai-security-research