火狐用AI抓了271个漏洞！CTO警告：所有软件都将迎来“安全大考”

麻薯滑芝士

哎呦我去，今儿个这事儿可真得跟所有搞代码的、天天网上冲浪的、还有那些觉着“软件更新跟我有啥关系”的各位，好好唠上一唠！我刚刚在《Wired》上扒拉出一条新闻，看完之后感觉后脊梁有点发凉，又觉得这事儿太有意思了，必须得立刻马上跟你们分享分享。

就这周二，2026年4月21日，开发火狐浏览器那家公司，Mozilla，他们不是刚发布了Firefox 150版本嘛。结果他们家首席技术官，一个叫Bobby Holley的老哥，站出来说了件挺炸裂的事儿。他说，这次新版本里，一口气儿堵上了271个安全漏洞！这数听着就吓人对吧？但更吓人的是，这些漏洞里头，有好多是靠一个叫Mythos Preview的AI工具给提前翻出来的。这工具是谁家的呢？是另一家叫Anthropic的AI公司搞的，Mozilla算是提前拿到了体验资格。

你可能会说，嗨，修漏洞嘛，浏览器不天天干这事儿？这回可真不一样。Holley的原话是，这种新的AI能力，“彻底改变了游戏规则”。来，咱们把这游戏规则是咋变的，掰扯清楚。

这么说吧，过去几十年，像Firefox这样的大公司，是怎么找自己软件里的毛病的呢？基本上是两条腿走路。一条腿，是靠一些自动化的工具，比如有个技术叫“模糊测试”，你就理解成让电脑自个儿瞎几把乱试，疯狂给软件喂各种乱七八糟的数据，看它会不会崩溃出错。另一条腿，就靠人，公司内部的安全专家，还有外面请来的“白帽”黑客，用他们的人眼和人脑，一行行去看代码，琢磨哪里可能有缝儿能钻。攻击你的黑客呢，基本上用的也是类似的招数。

所以以前有个什么情况呢？Holley说了，有些特别隐蔽、特别绕的漏洞，你靠那些自动化工具（就是电脑自己瞎试）是找不着的，只有经验老道的安全研究员，靠人脑分析才能挖出来。这就意味着，如果一个黑客组织，真想找到一个能用来干坏事儿的、别人还没发现的“零日漏洞”，他得花大价钱，雇顶级的黑客，花好长时间，像大海捞针一样去碰运气。而Firefox他们这些防守方，干的事儿就是尽量把“捞这根针”的成本，搞得越高越好，让坏蛋觉得不值当。

但是现在，情况可能真要翻篇了。

按照Holley的描述，像Mythos Preview这种级别的AI，它厉害就厉害在，好像能“自动化地覆盖所有能导致漏洞的缺陷类型”。咱就别整这文绉绉的话了，说人话就是：以前可能只有人类高手靠灵光一现和多年经验才能发现的那些深层次、逻辑性的漏洞，现在AI可能也能给你自动扫出来了！ 这就好比，以前找藏在迷宫深处的宝贝，得靠老探险家的直觉和地图；现在突然来了个自带超级透视和全自动路径规划的机器人，直接把迷宫三维建模，宝藏藏在哪个犄角旮旯，它唰一下全给你标出来了。

所以Holley有个判断，我觉得特别形象。他说，这些新兴的AI能力，会给所有软件都搞一次“新兵训练营”。甭管你是电脑上的操作系统、手机里的某个App，还是你公司内部用的什么管理系统，只要你代码里藏着以前没发现的、陈年老窖似的漏洞，在这个新型AI工具的“超级X光”面前，全都得现原形。你要么自己用这X光机先照一遍，把毛病都修了；要么你就等着，等黑客也用上同样的甚至更厉害的X光机，来照你，然后一打一个准。

这不，Anthropic和OpenAI这几周（就是2026年4月这段时间），不都发布了吹自己网络安全能力多牛多牛的新AI模型嘛，他们自己都说这可能是个“转折点”。但有意思的是，也正是因为知道这玩意儿威力太大，这两家公司目前都只敢搞小范围的私下试用，还拉了行业里的专家组一起开会评估，商量对策。为啥这么小心？你想想就明白了，这技术就像一把锋利无比的刀，能帮你做手术，也能轻易变成凶器。网络安全专家们自己心里也打鼓，对这玩意儿长远到底有多大影响，看法也不一样。

可Mozilla这次的亲身经历，至少证明了短期内，这刀是真快，真能砍中东西。

那Mozilla是咋提前拿到这把“刀”的呢？Holley说了，他们是直接跟Anthropic合作才拿到的早期体验权，并没正式加入Anthropic搞的那个更大的联盟（叫“Project Glasswing”）。他们等于是近水楼台，先拿自己的亲儿子Firefox开刀试了试，结果一试试出来271个问题。这就好比一个厨子，先拿到一把传说级的菜刀，拿自己家厨房的萝卜试了试，发现这切萝卜跟切豆腐似的，顺手还把以前没注意的萝卜心里的烂眼儿都给剔出来了。

听到这儿，你是不是觉得，哎呀这是好事啊！AI帮好人更快地修漏洞，咱们用的软件不是更安全了吗？

哎，问题就出在这儿，而且是个天大的、结构性的问题。

Mozilla的另一个大佬，他们的CTO，叫Raffi Krikorian，上个礼拜在《纽约时报》上发了篇评论文章，那话说得才叫一针见血，直接把底裤都给扒了。他说，就算有Anthropic这样的公司，给Mozilla这样的大户“开了小灶”，软件世界底层那套运行了几十年的、操蛋的经济规律，压根没变。

啥规律呢？就是：全世界最重要、最核心、无数人和公司都依赖的软件基础设施（尤其是开源软件），很多是靠一群用爱发电的志愿者，免费、挤出业余时间在维护的！ 而那些靠着这些开源软件赚了上百亿、上千亿美金的大公司，过去可从来没为这些“数字世界的基石”付过多少“保养费”。现在好了，一个强大到逆天的新工具出现了。按照科技圈过去一次又一次上演的剧本，结果大概率是：有钱、有资源、有门路的大公司，先拿到工具，先把自己保护得严严实实；而那些没钱、没人、没人管的小型开源项目，甚至那些早就没人维护的“死胎”软件，就会彻底裸露在沙滩上，成为黑客用同样AI工具随意宰杀的猎物。

Firefox自己就是开源软件，Holley可太懂这里面的痛了。他说，他跟好些超大公司的技术负责人聊过，对方告诉他，未来六个月，他们打算从各个项目里抽掉“成千上万”的工程师，啥也别干了，就专门处理AI扫出来的这些漏洞。 你听听，对大公司来说，这都是个“巨大的挑战”，得调动成千上万的精锐部队去打这场仗。那对于那些只有一两个维护者，或者纯粹是靠某个大神下班后凭兴趣维护的开源项目来说，这算啥？这简直就是灭顶之灾啊！他们别说搞到这些高级AI工具的使用权了，就算工具白送给他们，他们哪来的时间和人力，去处理AI可能一下报出来的成百上千个潜在问题报告？根本处理不过来，只能眼睁睁看着。

所以Holley最后说了句大实话，我觉得也是整篇报道里最点题的一句话：“说到底，开源的问题，是人的问题。”技术（比如这个AI）可以把问题的规模成百上千倍地放大，摆到你面前，但最终如何去解决这些问题，尤其是去解决那些没资源、没人手的地方的问题，光靠技术缩放是没用的，得靠整个行业、所有人，真的拧成一股绳才行。

唠到这儿，你大概能咂摸出这事儿的味儿了吧？它远远不是“Firefox用AI修了271个漏洞”这么一条简单的科技新闻。它更像是一阵凄厉的防空警报，在整个数字世界的上空拉响了：

首先，给所有软件公司和开发者听的： 都醒醒吧，别摸鱼了！你代码里那些陈年旧账、埋得深深的雷，以前可能发现不了，现在新型AI眼一瞪就能给你标得明明白白。赶紧的，要么自己想办法搞AI工具来查，要么就等着黑客用AI工具来打你，二选一，没得跑。

其次，是给整个开源生态和独立开发者听的： 真正的考验可能才刚刚开始。如果那些赚了大钱的大公司、还有各种开源基金会，不拿出实实在在的真金白银和资源，像修自己家房子一样去支援这些开源项目，那咱们每天用的互联网，它的地基（无数开源组件）可能会被这场AI掀起的“漏洞海啸”冲得千疮百孔。今天倒一个你不注意的小库，明天可能就导致一大批网站和应用出问题。

最后，是给咱们每一个普通用户听的： 短期看，像Firefox这样有实力的大厂能更快修好漏洞，当然是好事，咱们用着更安心。但往长了看，如果支撑整个互联网的那些看不见的、开源的小零件们，因为资源不够而大面积“失修”，那皮之不存，毛将焉附？最终所有人的安全都得受影响。

所以，Mozilla这次现身说法，更像是一个“吹哨人”。他们用自己的经历告诉大家：AI在找漏洞这事儿上，能力是颠覆性的，没跑。但随之而来的，数字世界里的“贫富差距”——有资源的和没资源的、大公司和独立开发者之间的安全鸿沟——可能会被这把锋利的AI之刃，切割得更深、更残酷。这个挑战，可比单纯修好271个漏洞，要难补得多了。

这事儿吧，我看完就觉得，技术跑得是真快，快得吓人。但有时候跑得太快，回头一看，好多人被落下了，这路还怎么一起走下去？这热闹看得我，是既觉得这AI真牛逼，又忍不住替那些默默支撑着咱们数字世界的、用爱发电的名字，捏一把汗。

悠悠寻梦

游客请登录后查看回复内容

jianpanyu

游客请登录后查看回复内容

网络孤客

游客请登录后查看回复内容