Anthropic 新 AI 模型 Mythos 於 Firefox 150 挖出 271 個零日漏洞

Mozilla 與 AI 公司 Anthropic 近日共同披露，Anthropic 最新開發的 AI 模型 Mythos 在 Firefox 150 瀏覽器的原始碼審計中，找出高達 271 個零日漏洞（zero-day vulnerability），Mozilla 技術長（CTO）公開表示，該模型的漏洞挖掘能力「與世界頂尖的資安研究員相當」，顯示 AI 輔助資安研究已進入新的時代。

這批漏洞中涵蓋多種類型，包括記憶體安全、邏輯錯誤與協議實作漏洞等。Mozilla 與 Anthropic 強調，所有漏洞均在內部協調披露程序下處理，並已納入 Firefox 後續更新修補，避免對使用者造成即時風險。不過，此事件對整個軟體供應鏈帶來的衝擊不可小覷——微軟 4 月 Patch Tuesday 成為歷史上第二大修補批次，外界普遍認為與 AI 輔助挖漏潮密切相關。

事實上，近期許多資安研究團隊陸續揭露透過 AI（特別是 Claude、GPT 等）輔助發現的漏洞。例如：Horizon3.ai 藉由 Claude 找到潛藏 13 年的 Apache ActiveMQ 重大漏洞；Calif Global 與 OpenAI 合作在 macOS 終端機工具 iTerm2 中發現執行任意指令的漏洞。這股趨勢凸顯 AI 已成為資安領域的「力量倍增器」。

對於像 Mozilla 這樣的開源專案而言，AI 審計的價值尤為顯著。Firefox 擁有數百萬行程式碼，人工審計難以窮盡所有潛在問題；AI 則能以接近窮舉的方式掃描並識別異常模式，短時間內完成過去需數月甚至數年的研究工作量。Mozilla CTO 表示，Mythos 的表現並非僅限於簡單的模式比對，而是能理解上下文、提出具體的攻擊路徑與修補建議，接近人類研究員的推理層級。

然而，這股趨勢也帶來新的挑戰。其一，AI 發現漏洞的速度將遠超現有修補節奏，企業與開源專案必須思考如何擴充修補與發佈流程。其二，若攻擊者也使用類似能力的 AI 模型，防禦方必須加速採用自動化工具，否則將陷入「AI 對 AI」的攻防不對稱競爭。其三，AI 的誤報與過度敏感問題仍需管控，以避免浪費開發者人力。

從產業角度來看，Anthropic 的 Mythos 模型透露 AI 廠商已將觸角延伸至具有高技術門檻的資安研究領域，未來不排除推出專屬的「資安 AI 助手」商品化服務。OpenAI 也已發表專為網路安全分析訓練的模型 GPT-5.4-Cyber，顯示這將是巨頭角力的新戰場。

對終端使用者而言，這波變化在短期內仍以「被動受益」為主：瀏覽器、作業系統與雲端服務的漏洞被更快挖出與修補，整體網路安全基線將逐步提升。中長線則需觀察產業如何在發現速度、修補節奏、責任歸屬與倫理使用之間取得平衡。