Firefox 150这一个版本,修了271个安全漏洞。
这是Mozilla史上单次发版修补数量的新纪录。一年前的同期,Firefox一个版本大约修31个漏洞。271对31——一个数量级的差距。
差距哪来的?答案叫Claude Mythos。
Mozilla用了几个月
Anthropic在2026年4月公开Mythos之前,几家头部公司就拿到了Preview版本——AWS、Apple、Google、Microsoft、Mozilla等十几家,组成一个叫Project Glasswing的内部圈子。
Mozilla拿到Mythos Preview之后跑了几个月。结果是Firefox 150这一次合并修复里:
- 271个漏洞全部被修
- 其中180个被Mozilla标为sec-high——他们自己内部最高严重级别,”用户正常浏览就可能被利用”
- 三个洞拿到了正式CVE编号:CVE-2026-6746、6757、6758(剩下的多是内部漏洞、防御加固类、或非可利用代码路径的问题)
- 最老的洞藏了15年——一个HTML解析bug,2011年前的代码
Firefox CTO Bobby Holley的原话:”鼓舞的是,我们也没见到任何一个漏洞是顶级人类研究员发现不了的。”
翻译过来:Mythos没有在做”AI才能做的事”,它只是用人类研究员几十倍的速度,在做人类已经能做的事。
Mozilla说了一句很多人不愿承认的话
Mozilla首席工程师Brian Grinstead接受TechCrunch采访时说:”很难夸大这一动态对我们而言变化有多大。这些东西突然就变得非常好。”
更值得记的是另一句:
“每一个修复,依然是一个工程师写补丁、一个工程师做review。我们没法把这一步自动化。”
意思是Mythos负责”找洞”——但”修洞”还是人类的事。所以现在Mozilla的工程师每天面对的,不是少了多少bug,而是要修的bug多了一个数量级。
数字佐证这件事:Firefox在2026年4月修了423个bug,去年同月只有31个。
这翻译过来就是:AI让”找”变快了一个数量级,”修”还在按人头走。瓶颈从扫描转移到了修复。
Anthropic为什么不公开放出来
Mythos现在还卡在Project Glasswing里——只有十几家合作伙伴能用Preview版本。Anthropic的理由是:这工具如果落到坏人手里太危险,它能挖出深藏的0-day。
Palo Alto Networks测试的结果是,Mythos做一遍渗透测试,相当于人类一年的工作量,用了不到三周。
这是Anthropic为什么不敢公开放出来的核心理由:找洞的速度,决定攻防双方谁先到。如果Mythos先进了攻击者手里——他们能挖到的洞,比好人来得及修的多得多。
Firefox 271这个数字本身已经在证明:Mythos级别的AI漏洞猎手是不可逆的技术变化。剩下的问题不是”会不会发生”,而是”它会被谁先用上”。
从Anthropic的角度看,把它先卡在十几家信任的伙伴手里跑成熟,比直接开放出去稳妥得多。从开源生态的角度看——OpenBSD、Apache、Linux内核这些项目都不在Project Glasswing名单里。
这一仗的下半场会很有意思。
参考来源:How Anthropic's Mythos has rewritten Firefox's approach to cybersecurity(TechCrunch)、Claude Mythos Finds 271 Firefox Vulnerabilities(SecurityWeek)、Behind the Scenes Hardening Firefox with Claude Mythos Preview(Mozilla Hacks)