AI助手两周挖出22个高危漏洞，Firefox安全团队直呼“太猛了”

最近，Mozilla的安全团队经历了一场前所未有的“效率冲击”——他们与AI公司Anthropic合作，用Claude Opus 4.6对Firefox浏览器的代码库进行了一次为期两周的自动化安全审计。结果出人意料：AI在短短14天内发现了22个真实存在的安全漏洞，其中14个被定为高危级别。

这14个高危漏洞，占到了Mozilla在2025年全年修复的同类漏洞总数的五分之一。要知道，过去一名资深安全研究员在同等时间内，通常只能发现2到3个这样的问题。这意味着，AI在特定场景下的漏洞挖掘效率，提升了近10倍。

不是幻觉，是真漏洞，每个都经过人工确认

很多人担心AI会“胡说八道”，但这次不一样。Mozilla的安全工程师对每一个AI提出的漏洞报告都进行了手动复现和验证。最终确认，22个全部真实有效，没有一个误报。

尤其在内存安全类问题上——比如Use-After-Free、缓冲区溢出、指针越界等传统上依赖人工经验与复杂工具链才能发现的隐患——Claude的表现远超预期。它能精准定位那些隐藏在成千上万行代码中的危险路径，甚至能指出一些连模糊测试（Fuzzing）都难以触发的边缘情况。

“它不像人会疲劳，也不会漏掉某个函数调用链的细节，”一位Mozilla安全工程师在内部会议中坦言，“有些漏洞，我们自己都看了三遍没发现，它一眼就标出来了。”

效率翻倍的背后，是安全社区的“信息过载”危机

但这场胜利，也带来了新的麻烦。

随着Claude这类模型在安全领域的成功，越来越多的开源项目、初创公司甚至个人开发者，开始用类似工具扫描自己的代码，然后把结果一股脑儿扔进GitHub的Bug Bounty平台。结果呢？漏洞报告数量暴增，而真正有价值的，可能不到10%。

“我们每天收到的AI生成报告，比过去一个月还多。”一位负责Linux内核漏洞审核的志愿者说，“光是筛选、去重、验证，就要花掉我们一半的精力。”

更棘手的是，许多AI报告缺乏上下文、没有复现步骤，甚至把编译警告当成了漏洞。这不仅浪费了开发者的时间，也让真正的高危问题被淹没在噪音里。

未来：AI不是取代人，而是改变协作方式

Mozilla并没有因为AI的高效就放弃人工审核，反而在调整流程：他们正在试验“AI初筛 + 专家复核”的新机制，把AI当作“超级助手”，而不是替代者。

目前，已有多个知名开源项目（如OpenSSL、LibreOffice）开始测试类似的AI辅助审计流程。而Anthropic也表示，他们正与安全社区合作，推动建立“AI生成漏洞报告”的标准格式，让机器输出更结构化、可验证。

可以预见的是，未来安全审计不会再是“一个人对着代码冥思苦想”，而是人与AI的深度协作：AI负责扫雷，人负责判断哪些雷值得拆。效率提升了，但责任，反而更重了。

这场变革，不是AI赢了，而是那些愿意拥抱工具、重新定义工作方式的安全团队，赢了。