隨著 Firefox 150 的正式發布,Mozilla 揭露了一項令資安界震撼的合作成果:透過 Anthropic 專門開發的防禦型 AI 模型「Claude Mythos Preview」,Firefox 在單一版本更迭中成功掃描並修復了高達 271 個安全漏洞。這不僅是 Mozilla 近年來規模最大的安全性更新之一,也標誌著「AI 輔助防禦」正式進入實戰階段。
「Project Glasswing」:被封印的防禦利刃
本次使用的「Claude Mythos」並非一般大眾所能接觸到的 Claude 系列模型。它是 Anthropic 於 2026 年 4 月 7 日公開宣布的計畫:代號「Project Glasswing」的核心,專為資安攻防、程式碼硬化與漏洞發現所設計。
由於 Claude Mythos 具備自主發現零日漏洞與開發複雜漏洞利用(Exploits)的強大能力,Anthropic 並未將其公測,僅提供給 Amazon、Apple、Cisco、Google、Microsoft 等約 40 個關鍵基礎設施夥伴以及 Mozilla,確保技術被用於「防禦端」而非惡意攻擊。
漏洞修復數據概覽
在本次 Firefox 150 的更新中,總修復數量驚人,以下是本次更新的數據概覽:
| 統計項目 | 數值 / 描述 |
|---|---|
| 總修復漏洞數 | 271(Mythos 識別之個別程式碼缺陷) |
| 獲分配 CVE 編號數 | 41(正式漏洞揭露之標準計量單位) |
| 主要發現類型 | 緩衝區溢位、use-after-free、非預期代碼路徑執行 |
| 掃描方式 | 逐檔優先排序,多輪平行掃描 |
| 參與模型 | Claude Mythos Preview |
數字說明:271 為 Mythos 識別之個別程式碼缺陷總數,許多被歸入 CVE 套組中;41 個 CVE 才是業界標準漏洞揭露流程的正式計量單位。兩者衡量的是不同的東西。
Mozilla 與 Anthropic 的合作始於今年 2 月,當時使用 Claude Opus 4.6 掃描了近 6,000 個 C++ 檔案,產出 112 份報告,其中 22 個確認為安全敏感漏洞,已收錄於 Firefox 148 的更新中,其中 14 個屬高嚴重性。Mythos Preview 的評估結果超過前者的 12 倍。
AI 是倍增器,而非替代品
Bobby Holley 在聲明中指出,這 271 個漏洞並非「人類無法發現」,而是因數量龐大且隱蔽性高,傳統人工審計往往需耗費數月甚至數年才能逐一排查。
不過 Holley 也提到「Defenders finally have a chance to win, decisively(防禦方終於有機會取得決定性優勢)」,並形容團隊在面對 Mythos 掃描結果時產生了「vertigo(目眩)」般的衝擊。他強調,Mozilla 至今尚未發現任何漏洞是 AI 能找出、但頂尖人類研究員無法識別的案例;這對防禦端反而是利多:「機器可發現」與「人類可發現」之間的落差正在縮小,將進一步削弱攻擊方長期以來的不對稱優勢。
值得關注:Mythos 在宣布當天遭未授權存取
值得注意的是,根據 Bloomberg 等多家媒體的報導,在 Project Glasswing 公開宣布的同一天,一群未授權用戶透過 Anthropic 第三方廠商環境取得了 Mythos Preview 的存取權。該群組透過猜測模型的 URL 位置以及利用第三方廠商內部人員的協助,成功繞過存取限制。
Anthropic 已發表聲明表示正在調查此事,並確認目前無跡象顯示該存取已擴及 Anthropic 自身系統之外。這起事件引發外界對 Glasswing 模型管控嚴密程度的質疑,也為本文所描述的「封鎖式防禦部署」策略增添了現實的複雜性。
儘管 Firefox 150 一次修復大量漏洞讓部分用戶擔心過往版本的安全性,但業界普遍認為這是軟體工程的必然趨勢。在日益自動化的惡意攻擊面前,將 AI 深度整合進安全審計流程,正被視為現代軟體開發的重要方向,儘管如何確保這類強大工具本身的安全管控,仍是有待解決的挑戰。
資料來源:
Mozilla Blog — The zero-days are numbered(Bobby Holley, 2026/04/21)
Anthropic — Project Glasswing 官方頁面
TechCrunch — Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!