Firefox 150 正式发布：AI 助力发现 271 个安全漏洞

近日，Mozilla 正式推出 Firefox 150 稳定版，此次更新最引人注目的并非新功能，而是背后一场悄然进行的安全革命——通过与人工智能公司 Anthropic 合作，团队在短短几个版本内，借助 AI 模型发现了 271 个此前未被察觉的安全漏洞。

这不是第一次尝试。早在 Firefox 148 版本中，Mozilla 就首次引入了 Anthropic 的 AI 分析工具，当时发现了 22 个漏洞。如今，模型经过优化，检测能力大幅提升，覆盖范围从内存泄漏、竞态条件到跨站脚本注入等复杂问题，几乎无一遗漏。这些漏洞中，有相当一部分属于“低概率高危害”类型——传统模糊测试和人工审计常常忽略，但一旦被利用，可能导致用户数据泄露甚至浏览器被远程控制。

从人工排查到 AI 扫描：安全检测的转折点

过去，Firefox 的安全团队主要依靠模糊测试（fuzzing）和人工代码审查。这种方式虽然可靠，但效率有限。一名资深安全工程师一天最多分析几百行关键代码，而 Firefox 的代码库超过 1000 万行。即使投入数十人团队，也难以做到“地毯式”排查。

“AI 不是替代工程师，而是帮我们把注意力从重复劳动中解放出来，”Mozilla 首席技术官 Bobby Holley 在内部分享中提到，“以前我们得先猜哪里可能出问题，现在 AI 会告诉我们‘这里不对劲’，然后我们再去确认。这就像从盲人摸象，变成了用扫描仪看全身。”

据内部统计，AI 发现的漏洞中，约 35% 是在代码中埋藏超过两年的“老病根”，有些甚至可以追溯到 Firefox 早期版本。这些漏洞之所以长期未被发现，并非因为没人看，而是因为它们太隐蔽——只在特定系统配置、特定用户操作序列下才会触发。

一场无声的不平等：开源安全的“双标”现实

但 Firefox 的成功，也让一个问题更加尖锐：为什么只有大公司能用上这种技术？

全球数以万计的开源项目，由志愿者维持运转。许多关键基础设施——比如 OpenSSL、LibreOffice、甚至某些 Linux 内核模块——背后只有一个人或一个小团队在支撑。他们没有预算，没有专职安全团队，更没有能力部署 AI 检测系统。

Mozilla 的另一位技术负责人 Raffi Krikorian 说：“我们用 AI 修好了自己的房子，但隔壁的木屋还在漏雨。如果攻击者盯上那间木屋，最终受影响的，还是整个互联网。”

现实是残酷的：大型科技公司可以免费使用 AI 工具加固自家产品，而开源维护者却要靠捐款和热情撑下去。一旦某个广泛依赖的开源组件被攻破，后果可能波及数百万网站和应用。

Mozilla 的回应：不只是自己变强，更要带大家一起

面对这种“安全鸿沟”，Mozilla 没有选择独享成果。他们已将部分 AI 检测工具的简化版本开源，并在 GitHub 上公开了漏洞分析流程和训练数据集（脱敏后），供任何开源项目使用。

此外，Mozilla 正在与 Linux 基金会、OpenSSF（开源安全基金会）合作，推动“AI 安全援助计划”——为符合条件的开源项目提供免费的漏洞扫描服务，甚至协助修复高危问题。首批试点包括 curl、Zstandard、和 SQLite 等被广泛使用的底层库。

“我们不是在做慈善，”Holley 说，“我们是在保护自己。Firefox 能安全运行，是因为它依赖的每一个库也都安全。如果别人家的墙倒了，我们的窗户也挡不住风。”

用户该做什么？

对普通用户而言，这次更新意味着更安全的浏览体验。建议立即升级到 Firefox 150，开启自动更新。如果你是开发者或开源贡献者，可以访问 Mozilla 的 AI 安全工具仓库，获取免费扫描脚本。即使是小型项目，也能通过这些工具，在不花一分钱的情况下，提前发现潜在风险。

安全不是大公司的专利。这一次，Mozilla 选择让技术真正流动起来。