Firefox用AI一次扫出271个零日漏洞,Tesla被曝瞒报数千起自动驾驶事故

01Firefox 150一次扫出271个零日漏洞,Mozilla的结论是开发者要准备过几年苦日子

Mozilla上周第一次把一款AI安全审计模型接进了Firefox 150的代码流水线。模型跑完一轮,标出了271个此前没人发现的漏洞,团队在发版前全部修掉。这款模型是Anthropic刚发布的Mythos,此前一直只出现在厂商自己的基准演示里。

Anthropic的CTO同步发言称它「和世界顶级安全研究员一样强」,但真正值得读的是甲方的语气。Firefox团队在Wired的采访里给出了一段冷静的判断:长期看,这类工具不会从根本上改变攻防的基本盘,双方早晚都会拿到同样的能力;但接下来几年,写代码的人会经历一段相当颠簸的过渡期。

颠簸体现在能力断层。一家能把模型接进CI的公司,可以在每次发版前扫一遍二十年积累的历史代码;一家没这种预算的团队,自己的历史漏洞依然埋着,攻击者却拿着同款模型轻松就能挖出来。271这个数字本身也在说话——Firefox是业内审计最严格的开源项目之一,还能扫出这个量级,那些从未被专业审计过的代码库数字可能更难看。

Anthropic目前把Mythos限制在一小批可信审计方手里,Mozilla没有公开这次扫描的成本,也没说模型会怎么纳入日常开发节奏。

缺少AI审计预算的团队漏洞暴露面扩大开源维护者面临同款模型的非对称扫描风险下一阶段看哪些厂商把Mythos级别的模型接入CI。
来源
Mozilla: Anthropic's Mythos found 271 security vulnerabilities in Firefox 150arstechnica.comMozilla Used Anthropic's Mythos to Find and Fix 271 Bugs in Firefoxwired.com

02Atlassian默认把客户数据喂给AI,Meta开始录员工每一次敲键

Atlassian上周在管理员后台加了一项新开关,默认授权平台使用客户工作区内容训练AI。开关覆盖旗下所有主力产品,管理员需要主动进设置里逐一关闭。同一周,Meta通知部分岗位员工:下月起记录他们的鼠标轨迹和键盘输入,用作内部AI工具的训练数据。

两家公司不在同一赛道,方向却一致——训练数据的同意机制从opt-in降级为opt-out。Atlassian动的是企业客户数据,背后是合同关系;Meta动的是员工行为数据,背后是雇佣关系。两条战线上原本的默认规则,都被模型对训练原料的需求压过去了。

这不是产品层的优化,是原料层的焦虑。合成数据产出质量仍不稳定,真实的人类操作轨迹和企业文档对训练价值极高。当干净的公开语料越挖越少,数据开关自然被推到「默认打开」的位置。

Atlassian的开关藏在组织管理员的安全设置里,名为「AI model improvement」;Meta的员工记录需通过内部HR门户申请豁免,默认不提供关闭选项。

企业SaaS管理员需立即审查AI数据开关默认状态合规团队需更新合同中训练数据授权条款Meta员工下月起默认被记录鼠标与键盘输入
来源
Atlassian enables default data collection to train AIletsdatascience.comMeta to start capturing employee mouse movements, keystrokes for AI trainingreuters.com

03一个医学生用AI造了个MAGA女孩,卖给他眼里「超级蠢」的男人

他是一名医学生,不是程序员。用的工具全部是现成的生成模型。人设是一个年轻的保守派女孩,头像上挂着MAGA标签。付费用户是他亲口称作「超级蠢」的男性,买的是这个角色的照片和视频。Wired报道里的这位匿名主角说,他靠这个做到了几千美元的稳定收入,且并非孤例。

角色IP化是这门生意的关键。虚构一个完整的人格,贴上鲜明的政治身份标签,比单纯的Deepfake换脸更难识别——没有被冒用的真人存在,平台现有的身份核验机制找不到比对目标。买家主动相信她真实,检测方连靶子都没有。

对抗的另一边,MIT Technology Review在2026年最值得警惕的十大AI议题里专门列出了AI驱动的诈骗,与大模型滥用、agent失控并列。报道仍在讨论这类诈骗该如何分类、平台该承担什么责任、检测模型该用什么框架,议程停在「怎么看待」这一层。

攻守双方的节奏差就这么摆了出来。一个医学生、现成工具、几千美元月入,这套组合已经跑通并且在复制;应对方还在敲定定义。

虚构人设+政治标签绕过平台身份核验单人凭现成工具稳定月入几千美元AI诈骗入选2026年十大AI风险议题
来源
This Scammer Used an AI-Generated MAGA Girl to Grift 'Super Dumb' Menwired.comSupercharged scamstechnologyreview.com
04

SpaceX有意600亿美元收购Cursor SpaceX披露一项特殊安排:要么以600亿美元买下AI编程平台Cursor,要么支付100亿美元违约金。xAI/X/SpaceX合并IPO在即,这笔交易会把Cursor纳入xAI的编码工具线。 theverge.com

05

Anthropic拿Amazon 50亿美元投资,承诺在AWS上花1000亿 Anthropic从Amazon收下50亿美元新一轮注资,同时承诺未来在AWS云服务上支出1000亿美元。 techcrunch.com

06

Tesla被曝为继续测试自动驾驶隐瞒数千起事故 瑞士RTS调查披露Tesla向监管机构隐瞒数千起自动驾驶事故,其中包括致命案例。 rts.ch

07

Sam Altman公开嘲讽Anthropic的Mythos是「恐惧营销」 OpenAI CEO Altman在一档播客中点名Anthropic的网络安全模型Mythos,称对方靠渲染威胁把产品包装得比实际更强。 techcrunch.com

08

OpenAI Codex周活冲到400万,推出企业版Codex Labs OpenAI发布Codex Labs,同时和Accenture、PwC、Infosys等咨询商签约,把Codex推到企业软件开发流水线上。 openai.com

09

OpenAI发布ChatGPT Images 2.0 OpenAI上线ChatGPT图像生成的第二代版本。 openai.com

10

Clarifai在FTC和解后删除300万张OkCupid用户照片 法庭文件显示Clarifai在2014年通过其投资人关系从OkCupid拿到用户照片训练人脸识别模型,FTC和解后照片被强制删除。 techcrunch.com

11

YouTube向好莱坞名人开放AI深度伪造检测 YouTube把相似性检测功能扩展到公众人物,被纳入计划的名人可以扫出以自己为原型的AI视频并申请下架。 theverge.com

12

AI研究机构NeoCognition拿下4000万美元种子轮 由俄亥俄州立大学研究员创立,目标是做能在任意领域通过自主学习变成专家的AI agent。 techcrunch.com

13

Starbucks和OpenAI合作的点单app翻车 The Verge记者实测Starbucks ChatGPT app下单一杯常点的冰咖啡,结果流程冗长到比亲自去店里还慢。 theverge.com

14

美国中期选举尚未把反AI情绪当作核心议题 民调显示美国人对AI普遍持保留态度,社区层面的数据中心抗议已在多地拖慢项目,但竞选团队目前仍未把AI列入主打议程。 theverge.com