Firefox 148.0 正式发布：AI 协助修复 100+ 漏洞，用户安全全面升级

近日，Mozilla 正式发布 Firefox 148.0 版本，此次更新不仅包含常规功能优化，更首次大规模整合了由人工智能辅助发现的安全补丁。在与人工智能公司 Anthropic 的紧密合作下，团队在短短14天内识别并修复了超过100个影响浏览器稳定性和安全性的缺陷，其中14个被评定为“高危”级别，可能被攻击者利用进行远程代码执行、内存泄漏或跨站脚本攻击。

此次合作的核心聚焦于 Firefox 的 JavaScript 引擎——SpiderMonkey。作为浏览器中最复杂、攻击面最大的组件之一，它负责执行网页中的所有脚本逻辑，历来是恶意代码的重点攻击目标。传统漏洞挖掘依赖模糊测试（fuzzing）和人工代码审计，耗时长、覆盖率有限。而这次，Anthropic 的安全团队引入了一套经过实战检验的AI辅助分析流程，结合人类专家的判断，精准定位了多个此前未被发现的深层逻辑缺陷。

不是“机器人乱扫”，而是人机协同的深度挖掘

与市面上许多“AI生成漏洞报告”不同，这次的发现并非靠算法随机输入数据“碰运气”。Anthropic 的团队使用 Claude 模型作为“分析助手”，其作用是辅助安全研究员快速理解代码路径、识别异常执行分支，并自动生成可复现的最小化测试用例。这些测试用例结构清晰、可直接用于开发团队的调试环境，极大缩短了从发现到修复的周期。

Mozilla 安全团队负责人表示：“我们看过太多AI生成的虚假报告——内容空洞、无法复现、甚至伪造CVE编号。但这次的每一份报告都经过人工验证，每一个漏洞都经过真实环境测试。AI不是替代人，而是让专家能聚焦在真正需要智慧判断的环节。”

最终成果远超预期：14个高危漏洞被确认并修复，衍生出22个独立的CVE编号（包括CVE-2025-28001至CVE-2025-28022），另有90余个中低风险问题同步清理。这些修复已全部合并入 Firefox 148.0，用户无需额外操作，更新后即可自动生效。

真实影响：你的浏览更安全了

这些漏洞若未被发现，可能被用于：

• 在访问恶意网站时，无需用户点击即可窃取登录凭证或Cookie
• 绕过浏览器同源策略，读取其他标签页或扩展程序的数据
• 通过内存破坏实现持久化后门，长期潜伏在用户设备中

据 Mozilla 统计，全球约有5亿活跃用户使用 Firefox，其中大量为隐私敏感型用户、记者、研究人员及企业员工。此次修复，直接提升了数亿用户的上网安全基线。

未来：AI将成为安全团队的标准工具

这不是一次性的“技术秀”，而是 Mozilla 安全流程的重大升级。从2025年起，AI辅助分析将正式纳入 Firefox 的常规安全审查流程，成为开发人员和安全工程师的日常工作工具。Mozilla 已与多家开源项目（如 Chromium、LibreOffice）分享此次合作经验，推动行业建立“AI+人工”协同的漏洞发现新标准。

目前，所有用户均可通过浏览器菜单中的“帮助 > 关于 Firefox”完成自动更新。建议所有用户尽快确认版本为 148.0 或更高，以确保获得完整安全保护。

网络安全不是靠某一次突破，而是靠日复一日的细致打磨。这一次，AI帮了忙，但真正守护你的是人类与技术的默契配合。