问题——浏览器是承载网页脚本、插件与多媒体内容的核心入口,长期面对高频且复杂的安全威胁。随着代码规模不断扩大、攻击面持续延伸,传统依赖人工审计和零散测试的方法覆盖率、时效性与成本上越来越吃力。如何在不拖慢迭代节奏的前提下,更早、更快、更系统地暴露漏洞,成为行业共同难题。 原因——本次实验选择Firefox,主要因为其开源、代码复杂度高且长期接受安全研究者审计,更能反映前沿工具在“高强度对抗环境”中的能力边界。此前,研究团队曾基于加州大学伯克利分校推出的CyberGym安全评估框架进行验证。该框架汇集1507个测试用例,覆盖188个主流开源项目的真实漏洞,要求受测模型在获得漏洞描述与未修补代码后,自动生成概念验证程序复现问题。研究人员认为,通用评估已难以衡量现代浏览器级漏洞的复杂度,因此将目标转向更深的浏览器代码路径,并优先从相对独立且攻击面较大的JavaScript引擎入手,以提高发现深层内存安全问题的概率。 影响——结果显示,自动化挖掘在“发现阶段”效率突出:模型在最新版本代码中用较短时间定位到新的内存安全缺陷(如释放后使用类问题),并在独立环境完成复现验证后,通过Bugzilla提交报告及修复建议。两周内累计扫描近6000个C语言文件——形成112份独立报告——其中22项最终确认为漏洞,14项被判定为高危。研究团队测算,这14项高危问题的数量接近Mozilla在2025年全年修复高危缺陷总量的五分之一;按月度比较,该实验在2026年2月确认的漏洞数量也超过2025年任何单月的公开报告量。对产业而言,这意味着漏洞“暴露速度”可能明显加快:一上有助于厂商更早发现并修补缺陷,缩短被利用窗口;另一方面也会对漏洞分级、验证资源配置与补丁发布节奏提出更高要求,避免报告激增挤压人工复核与修复产能。 对策——在漏洞利用环节,研究团队继续测试模型自动编写利用程序的能力,并以“可读取或写入本地文件”为成功标准。在数百次尝试和约4000美元计算资源投入下,仅获得两次成功,说明当前技术从“发现”走到“稳定可利用”仍有明显门槛。这提示安全治理需要两条线同步推进:其一,面向开发侧,将自动化挖掘纳入安全开发流程,打通代码审查、模糊测试与持续集成的联动,并对高风险模块实施更严格的内存安全策略与编码规范;其二,面向处置侧,完善负责任披露流程,明确验证与分级标准,提升补丁回归测试能力,通过灰度发布、快速更新提示等方式缩短用户侧修复时延。对开源社区而言,还应建立更高效的报告去重、批量处理与协作审核机制,避免“高产报告”占用核心修复资源。 前景——可以预见,自动化安全工具将更快进入浏览器、操作系统、云原生组件等关键基础软件领域,漏洞发现成本下降或将成为常态。另外,攻防双方都可能获得更强的自动化能力,竞争将从“单点漏洞”转向“工程化体系对抗”。未来一段时期,行业需要更重视两类建设:一是以可验证、可追溯为原则的安全评估基准与治理规范;二是以高风险模块为重点的架构级安全改造,例如推广内存安全语言、加强沙箱隔离与权限最小化设计,从源头降低漏洞可利用性。
当智能技术缓解了代码审计的效率瓶颈,一场更隐蔽也更深刻的安全变革正在重塑网络空间的防御边界。正如抗生素的普及推动了耐药性演化,技术进步始终是一把双刃剑。在数字化生存成为常态的今天,如何构建既能释放创新活力、又能守住安全底线的治理体系,将成为考验社会整体能力的长期命题。