“`markdown
Mozilla 利用 AI 协助发现 Firefox 的 271 个安全漏洞:自动化漏洞挖掘的新里程碑
近日,Mozilla 安全团队宣布,通过引入人工智能(AI)辅助的漏洞发现系统,成功在 Firefox 浏览器中检测出 **271 个安全漏洞**。这一成果不仅刷新了 Mozilla 内部漏洞挖掘的效率纪录,更标志着传统安全审计与机器学习技术深度融合的实质性突破。
AI 赋能:从“人工盲测”到“智能定向狩猎”
传统的漏洞挖掘主要依赖模糊测试(Fuzzing)与人工代码审计。前者虽能覆盖大量输入路径,但存在“盲目性”——大量无效变异消耗算力,且难以精准触发深层逻辑漏洞;后者则高度依赖专家经验,效率受限于人力规模。
Mozilla 此次采用的 AI 系统,核心在于 **基于深度学习的覆盖率引导与路径预测**。具体而言,模型通过分析 Firefox 的中间表示(IR)与执行轨迹,学习哪些代码分支更易出现内存安全错误(如缓冲区溢出、释放后使用)。系统自动生成高概率触发漏洞的测试用例,将模糊测试的“命中率”提升了数倍。此外,AI 还承担了 **相似漏洞聚类** 的任务——将 271 个漏洞按根因模式归类,帮助工程师优先修复高风险且影响范围广的缺陷。
271 个漏洞的分布与影响
据 Mozilla 披露,这 271 个漏洞中,**约 60% 属于高危或严重等级**,主要集中于 JavaScript 引擎 SpiderMonkey、渲染引擎以及网络栈。其中,超过 30 个漏洞可被用于远程代码执行(RCE),另有 40 余个涉及同源策略绕过或沙箱逃逸。值得关注的是,AI 系统还发现了 **7 个零日漏洞**——此前未被任何公开渠道报告,且已存在至少两个版本周期。Mozilla 已在后续的 Firefox 更新中完成修复,并建议用户尽快升级。
对行业安全实践的启示
Mozilla 的实践表明,AI 并非取代安全研究员,而是作为“超级助手”放大人类能力。其核心价值体现在两点:
1. **规模化持续审计**:AI 可 7×24 小时运行,覆盖 Firefox 每天数千次的代码提交,实现“提交即检测”的实时防护。
2. **发现人类盲区**:深度学习模型能捕捉到人类工程师因思维定势而忽略的异常模式,例如非对称的竞态条件或跨模块的隐式依赖漏洞。
当然,该方法也面临挑战:AI 模型本身可能存在对抗性攻击风险(如生成误导性测试用例),且误报率仍需人工二次验证。Mozilla 计划将系统开源,并邀请社区共同优化模型。
未来展望
随着 AI 在软件安全领域的渗透,类似“AI 辅助漏洞挖掘”将成为浏览器、操作系统等基础软件的标配。Mozilla 的 271 个漏洞案例不仅是一次技术胜利,更预示着一个 **人机协同、持续进化** 的安全防御新时代的到来。
“`
