人工智能漏洞发现如何降低企业安全成本

自动化人工智能漏洞发现正在从根本上改变企业安全经济格局。这扭转了网络安全领域长期以来攻击者相对于防御者的传统成本优势。

历史上，实现零漏洞利用被认为是一个无法达成的目标。传统的作战策略侧重于使攻击成本极高，确保只有拥有近乎无限资源的对手才能发动攻击，从而阻止漏洞的广泛利用。

然而， 由 Mozilla Firefox 工程团队进行的一项突破性评估 – 利用 Anthropic 的 Claude Mythos Preview – 正在挑战企业安全领域长期以来被接受的范式。

🔍 Mozilla Firefox 的突破性安全评估

在使用 Claude Mythos Preview 进行全面评估期间，Firefox 开发团队成功完成了 已识别并修复 271 个漏洞 在其 150 版本发布之际，他们取得了这一成就。此前，他们与 Anthropic 合作，使用 Opus 4.6，在 148 版本中修复了 22 个安全关键问题。

同时发现数百个漏洞会给组织资源带来巨大压力。然而，在当今严格的监管环境下，投资于预防措施以避免数据泄露或勒索软件攻击，将带来丰厚的回报。 自动化扫描技术可显著降低运营成本。通过不断地根据全面的威胁情报数据库验证代码，组织可以显著降低对昂贵的外部安全顾问的依赖。

💰 解决计算成本和集成难题

将前沿人工智能模型集成到现有的持续集成和持续部署 (CI/CD) 流水线中会带来巨大的计算成本。使用像 Claude Mythos Preview 这样的高级模型处理数百万个专有源代码令牌需要专门的资金投入。 企业必须建立安全的向量数据库基础设施 管理分析庞大代码库所需的广泛上下文窗口，确保专有业务逻辑保持严格隔离和保护。

输出验证也需要严格的假象缓解协议。模型如果产生误报的安全漏洞，会浪费宝贵的工程资源。因此，部署流程必须将模型输出与已建立的静态分析工具和模糊测试结果进行交叉比对，以验证发现的正确性。

自动化安全测试高度依赖动态分析方法，特别是模糊测试，通常由内部红队执行。虽然模糊测试已被证明非常有效，但它在处理某些特定代码库片段时会遇到局限性。

传统上，顶尖的安全研究人员通过手动分析源代码来识别逻辑漏洞，从而克服这些局限性。这种手动方法耗时费力，并且受到世界一流安全专家稀缺性的制约。

🚀消除人为因素对漏洞发现的影响

先进人工智能模型的集成消除了这一关键的人工瓶颈。 几个月前还完全无法完成这项专业任务的系统，如今却展现出卓越的代码推理能力。Mythos Preview 的性能与世界顶尖安全研究人员的水平相当。工程团队确认，他们没有发现任何人类能够检测到而该模型无法检测到的漏洞类别或复杂程度。令人鼓舞的是，他们也没有发现任何精英研究人员无法发现的安全漏洞。

在向内存安全编程语言过渡的过程中，例如 锈 针对某些常见漏洞类别提供缓解措施， 停止开发以替换数十年来遗留的 C++ 代码在经济上仍然不切实际。 对于大多数企业而言，自动化推理工具提供了一种极具成本效益的方法，可以在不耗费巨资进行系统全面重构的情况下，保护遗留代码库的安全。

⚖️ 缩小攻击者和防御者之间的发现差距

机器可发现漏洞与人工可发现漏洞之间存在的巨大差异，对攻击者极为有利。恶意行为者可以耗费数月时间，投入大量人力物力，只为发现一个可利用的漏洞。 弥合这一发现差距，就能以经济有效的方式识别漏洞。这会削弱攻击者长期以来占据的优势。虽然短期内发现的首批漏洞数量可能看似庞大，但这对于企业防御策略而言无疑是个好消息。

关键互联网软件供应商都设有专门的安全团队，致力于保护用户安全。随着更多技术组织采用类似的评估方法， 软件责任的基准标准将会不断发展如果人工智能模型能够可靠地识别代码库中的逻辑缺陷，那么未能实施此类工具可能很快就会被视为企业疏忽。

重要的是，没有证据表明这些系统会产生超出当前认知范围的全新攻击类型。像 Firefox 这样的软件应用程序在架构上采用模块化设计，旨在方便人们判断其正确性。

该软件很复杂，但并非随意复杂。 软件缺陷是有限的，而且是可以发现的。

✅ 前进之路：通过人工智能驱动的审计实现主动防御

通过采用先进的自动化安全审计，技术领导者可以主动消除持续存在的威胁。最初涌入的大量漏洞数据需要投入大量的工程精力并重新调整战略优先级。然而， 致力于全面补救工作的团队将取得理想的结果。科技行业正朝着这样一个未来发展：防御团队将拥有对对手的决定性战略优势。