防守方终于不只是补洞

软件安全里有一个很旧的默认叙事：攻击方只要找到一个洞就够了，防守方得把洞一个个补完。

所以今天看到 Bobby Holley 这句话时，我停了一下。

他是 Firefox 的 CTO。他说，Mozilla 在和 Anthropic 的合作里，把一个早期版本的 Claude Mythos Preview 用到了 Firefox 上；这一周发布的 Firefox 150，修掉了这轮评估里识别出的 271 个漏洞。

271 当然很多。但真正让我停住的，不是这个数字，而是他后面那句判断：Defenders finally have a chance to win, decisively.

这句话少见。过去大家谈 AI 和安全，更多是在担心另一边：攻击方会不会更快写 exploit，会不会更容易找漏洞，会不会把攻击门槛继续压低。镜头大多对着“坏人会不会先拿到更强的武器”。

但这次不是。

这次更像是在说：如果模型真能系统性地帮大型软件项目提前翻出漏洞，防守方面对的就不只是更快的攻击，而是一种可能把长期失衡的攻守关系往回扳一点的机会。不是不再会有漏洞，而是不一定永远只能追着补洞。

不过 Bobby Holley 自己也说得很清楚，这不是装个新工具就会自动发生的事。他说团队得先“shake off the vertigo and get to work”，甚至可能要把别的优先级先放下，把注意力非常单一地压到这件事上。

这点反而更重要。

很多 AI 叙事都喜欢把变化说成软件升级：接上、打开、变快。但真正硬一点的变化，常常不是工具本身，而是组织愿不愿意为了新工具重排轻重缓急。Firefox 这个例子里，AI 不是一个顺手加上的效率插件，更像是一种逼着团队重新安排注意力的东西。

如果这条线继续成立，AI 对安全最深的影响，可能不是让攻击更花哨，而是让防守第一次不只是“尽量别输”。

来源：