Mozilla 引入 Anthropic「Claude Mythos」，僅用 30 天完成 14 個月的安全補丁

Mozilla 利用 Anthropic 最新的 AI 模型「Claude Mythos Preview」，將 Firefox 瀏覽器的安全漏洞修復速度提升至前所未有的水平。在 2026 年 4 月的一個月內，Mozilla 總共修復了 423 個安全漏洞，與 2025 年 4 月記錄的 31 個修復案例相比，呈現爆發式增長。這一成就相當於過去 14 個月的總修復量（約 420 個），展示了 AI 在安全工程領域的顛覆性潛力。

「在短短 30 天內完成 14 個月的安全補丁，意味著網絡安全防禦體系的範式轉移。」

在這次大規模補丁過程中，Mozilla 成功發現了人類審計員數十年來都未能發現的「遠古」漏洞。特別是隱藏在代碼中長達 20 年的 XSLT 相關漏洞，以及 15 年之久的 HTML 元素解析錯誤，均被 Claude Mythos 識別出來。這些漏洞並非單純的新錯誤，而是長期潛伏在遺留代碼（legacy code）中的缺陷，傳統的手動檢查或自動化工具難以偵測。

Claude Mythos：安全發現的核心引擎

由 Anthropic 開發的 Claude Mythos 被設計為專門針對網絡安全的「前沿模型」（frontier model）。據 Mozilla 工程師稱，該模型在識別 271 個漏洞的過程中，準確率驚人，誤報率（False-positive）幾乎為零。得益於這種可靠性，Mozilla 能夠迅速將 AI 建議的修復方案應用於實際生產環境，這表明 AI 已超越單純的輔助工具，進入了實戰部署階段。

• 2026 年 4 月安全修復數量：423 宗（同比增長約 13 倍）
• 已識別漏洞中，有 271 宗確認幾乎無誤報
• 解決了 20 年前的 XSLT 漏洞及 15 年前的 HTML 解析錯誤
• 通過 Project Glasswing 採取受限防禦策略

為了防止 Mythos 模型被濫用，Anthropic 並未向公眾開放，而是建立了名為「Project Glasswing」的受限聯盟體系。該項目吸引了包括 Mozilla、AWS、Apple、Google、Microsoft 及 NVIDIA 在內的主要 IT 企業參與。這是「防禦優先」策略的一部分，旨在讓防禦者在攻擊者利用 AI 尋找零日漏洞（zero-day vulnerabilities）之前，先一步修復安全缺陷。

安全專家將這一變化定義為「AI 漏洞風暴」（AI Vulnerability Storm）的開端。隨著 AI 加速漏洞發現的速度，企業的事件響應團隊面臨著極大的時間壓力，必須在公開的漏洞被利用前完成補丁。Mozilla 的案例預示著，在這種風暴中，基於 AI 的自動化補丁系統將成為現代軟件維護的必備要素。

深度防禦體系與 AI 的結合

幸運的是，Firefox 現有的「深度防禦」（Defense-in-depth）體系在很大程度上緩解了 AI 發現的許多漏洞의 潛在風險。根據 Mozilla 的分析，Mythos 發現的許多漏洞由於瀏覽器的多重安全層，很難轉化為實際攻擊。這證明了當 AI 的攻擊性增強與現有的穩健架構相結合時，可以獲得最佳的安全效果。

Anthropic 表示，Mythos 在約 7 週的測試期間發現了超過 2,000 個未公開的漏洞。這種性能在安全專家之間引發了縮小技術差距的正面預期，同時也引發了對惡意用戶在缺乏技術背景的情況下仍能造成嚴重破壞的擔憂。因此，像 Project Glasswing 這樣受控的部署方式，很可能成為未來 AI 安全工具運營的標準。

軟件安全的新標準

總括而言，Mozilla 的這次實驗為軟件安全設定了新的基準。AI 在降低漏洞發現門檻的同時，也為防禦者提供了壓倒性的速度優勢。未來，對於軟件企業而言，基於 AI 的安全自動化將不再是可選項，而是生存的必備策略，這有望將整個 IT 生態系統的安全水平提升到一個新高度。