Lenny's Newsletter

How Claude Mythos found a 15-year-old bug in Mozilla Firefox | Brian Grinstead

8.5内容质量
How Claude Mythos found a 15-year-old bug in Mozilla Firefox | Brian Grinstead

TL;DR · AI 摘要

Mozilla团队利用Claude Mythos模型和自定义工具链,在一个月内修复了423个安全漏洞,其中包含一个15年未被发现的bug。

核心要点

  • 使用Claude Code和-p标志可快速构建基础漏洞检测工具,无需SDK。
  • 通过LLM评分系统可优先处理高风险代码文件,节省计算资源。
  • AI生成的补丁仍需人工审核,确保安全性和代码质量。

结构提纲

按章节快速跳转。

  1. 介绍Brian Grinstead及其在Mozilla的工作背景。

  2. 展示Mozilla团队在一个月内修复423个安全漏洞的成果。

  3. 介绍如何使用Claude Code和自定义工具构建漏洞检测系统。

  4. 解释目标循环模式如何提升AI代理的漏洞检测效率。

  5. 说明如何通过验证子代理减少误报并提高检测准确性。

  6. 讨论工具链的开源计划及人工审核在AI补丁流程中的必要性。

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • AI漏洞检测工具链
    • 工具构建
      • Claude Code
      • LLM评分系统
      • 验证子代理
    • 工作流程
      • 目标循环机制
      • 人工审核
      • 开源与部署

金句 / Highlights

值得收藏与分享的关键句。

#AI#安全#Mozilla#Claude#漏洞修复
打开原文

Claude Mythos 如何发现 Mozilla Firefox 中一个存在 15 年的漏洞 | Brian Grinstead

播放速度

×

分享帖子

分享当前时间的帖子

从 0:00 分享

0:00

/

字幕

Claude Mythos 如何发现 Mozilla Firefox 中一个存在 15 年的漏洞 | Brian Grinstead

🎙️一个月内修复了 423 个安全漏洞:Brian Grinstead(Mozilla)展示了背后的“目标循环”工具链,并解释了为什么模型只是故事的一半

Claire Vo

2026 年 6 月 22 日

Brian Grinstead 是 Mozilla 的杰出工程师,自 2013 年以来,他一直在 Firefox 和网络平台方面工作(他加入 Mozilla 是为了帮助推出 Firefox DevTools)。最近,他和他的团队将一个代理式漏洞查找管道应用于 Firefox——一个包含数以万计文件和数千万行代码的代码库——并实现了创纪录的一个月安全修复。那个病毒式传播的图表将功劳归于 Anthropic 新推出的 Mythos 模型。Brian 的看法是,工具链和管道同样做了大量工作,他详细介绍了它如何运作,以及任何人都可以如何构建一个基础版本。

在 YouTube、Spotify 或 Apple Podcasts 上收听或观看

你将学到的内容:

  • 如何通过运行 Claude Code 或 Codex 并使用一个提示和 -p 标志(无需 SDK)构建一个基本的漏洞查找工具链
  • 为什么将代理应用于整个代码库会失败,以及在消耗任何计算资源之前,如何通过一个大型语言模型(LLM)法官对文件进行评分和排序
  • 验证器子代理如何通过捕捉代理作弊行为来消除误报
  • 目标循环模式:为代理提供一个范围明确的问题,一个清晰的通过/失败信号,并让它在人类已经放弃的情况下继续重试
  • 为什么那些已经在模糊测试、CI 和开发工具方面投入的团队远远领先
  • 如何权衡模型与工具链,并解释 Brian 为何将功劳几乎平均分配给两者
  • 非工程师如何复用相同的评分、验证和修复循环,用于设计质量、转化率或技术债务
  • 为什么 AI 生成的补丁仍然无法独立发布,以及人类如何在其中保持参与

由以下平台带来:

WorkOS — 今天就让你的应用具备企业级功能

Metaview — 为获胜团队打造的代理式招聘平台

在本集节目中,我们涵盖了以下内容:

( 00:00 ) Brian Grinstead 介绍

( 02:43 ) 病毒式传播的图表:按月统计的 Firefox 安全漏洞修复

( 05:32 ) 定制工具链的工作原理

( 10:22 ) 目标循环和防护措施

( 14:45 ) 他们是如何构建它的

( 16:55 ) 真实的漏洞,包括一个存在 15 年的漏洞

( 23:00 ) 开源它

( 26:26 ) 为什么人类仍然需要审查每一个修复

( 32:30 ) 实时演示和文件优先级排序

( 40:18 ) 动员团队和总结

( 42:33 ) 快速问答环节

引用的工具:

• Claude Code: https://claude.ai/code

• Claude Agent SDK: https://code.claude.com/docs/en/agent-sdk/overview

• Codex: https://openai.com/index/openai-codex/

• OpenAI Agent SDK: https://developers.openai.com/api/docs/guides/agents

• VS Code: https://code.visualstudio.com/

• Docker: https://www.docker.com/

• Firefox: https://www.mozilla.org/firefox/

Address Sanitizer: https://github.com/google/sanitizers

RLBox: https://rlbox.dev/

其他参考资料:

• Mozilla Bug Bounty Program: https://www.mozilla.org/security/bug-bounty/

• Mozilla GitHub: https://github.com/mozilla

如何找到 Brian Grinstead:

LinkedIn: https://www.linkedin.com/in/bgrins/

GitHub: https://github.com/bgrins

如何找到 Claire Vo:

ChatPRD: https://www.chatprd.ai/

Website: https://clairevo.com/

LinkedIn: https://www.linkedin.com/in/clairevo/

X: https://x.com/clairevo

https://penname.co/ 负责制作和推广。如需了解赞助播客的相关事宜,请发送邮件至 [email protected](mailto:email@example.com)。

#### 关于本视频的讨论

评论

Restacks

如何使用 AI

《How I AI》由 Claire Vo 主持,适合任何想知道如何实际使用这些神奇的新工具来提高工作质量和效率的人。每一期节目中,嘉宾将分享他们在工作或生活中学习到的具体、实用且有影响力的方法,来使用 AI。每期节目预计时长为 30 分钟,包括实时屏幕共享,并提供你可以立即复制的技巧、窍门和工作流程。如果你想揭开 AI 的神秘面纱,并学习在这个新世界中生存所需的技能,这个播客就是为你准备的。

收听平台

Substack App

Apple Podcasts

Spotify

YouTube

Overcast

Pocket Casts

RSS Feed

出现在以下节目

撰写

Claire 的 Substack

近期节目

如何设计 AI 代理循环:在 Claude Code 和 Codex 中的计划、目标和子代理

6月17日

Braintrust 如何使用 AI 代理、评估和 CI 来发布更好的软件 | Ankur Goyal

6月15日

Claude Fable 5 评测:新的 Mythos 模型做对了什么(以及非常错误的地方)

6月9日

使用 Claude 购物:如何找到优质品牌、自动化退货并购买能使用 100 年的产品 | Nicole Ruiz

6月8日

Gemini Omni:在 15 分钟内用 AI 克隆自己

6月3日

零技术技能构建 iPhone 应用 | Bryce Rattner Keithley

6月1日

Claude Opus 4.8 已发布。它真的像他们说的那样好吗?

5月28日