Firefox 150: Khi Bên Phòng Thủ Thắng Áp Đảo
271 lỗ hổng đã được vá. Team làm việc suốt ngày đêm từ tháng 2. Đây là câu chuyện về cách bên phòng thủ cuối cùng cũng nhìn thấy chiến thắng trước lợi thế của kẻ tấn công.
Mục lục
Firefox 150 vừa release với 271 lỗ hổng bảo mật được vá. Hai trăm bảy mươi mốt. Con số đó đánh vào team như một cú tát khi họ lần đầu nhìn thấy. Claude Mythos Preview đã quét codebase, và những phát hiện quá choáng ngợp đến mức họ gọi nó là “vertigo”—cách Mozilla nói lịch sự cho “chúng tôi suýt ngồi sụp xuống.”
Nhưng họ không hoảng loạn. Họ pivot. Mọi thứ khác được đẩy xuống ưu tiên thấp hơn. Tập trung tuyệt đối. Làm việc suốt ngày đêm từ tháng 2. Và sáng nay, họ ship nó. Đây là ý nghĩa thực sự của chuyện đó.
(Bài này là phần tiếp theo của bài trước về Mythos và bối cảnh đe dọa đang thay đổi. Bài đó tập trung vào hồi chuông cảnh báo. Bài này tập trung vào những gì xảy ra khi đội defender thực sự hành động.)
Khoảnh khắc bên phòng thủ được nghỉ ngơi
Nhiều năm nay, chúng ta đang chơi một trò chơi thua. Kẻ tấn công phát hiện bug nhanh hơn bên phòng thủ có thể patch. Kẻ tấn công khai thác chuỗi mà researcher không biết tồn tại. Kẻ tấn công tìm ra lỗi memory corruption tinh vi mà không ai thấy trước. Khoảng cách ngày càng mở rộng. Bên phòng thủ đã mệt mỏi.
Rồi Mythos thay đổi phương trình.
Thấy không, những security researcher hàng đầu có một giới hạn. Không phải vì họ không giỏi—họ xuất sắc—mà vì chỉ có giới hạn số giờ trong ngày, chỉ có rất ít người có độ sâu cần thiết, chỉ có thể đọc bao nhiêu code path trước khi não bạn bỏ cuộc. Mythos không có giới hạn đó. Nó có thể quét hàng tỷ dòng code như bạn đọc một đoạn văn. Nó tìm ra các loại bug mà con người bỏ lỡ. Nó xâu chuỗi các bug lại thành các cuộc tấn công mà con người chưa tưởng tượng ra.
Và đây là phần quan trọng: tất cả những bug đó tồn tại hôm nay. Chúng không mới. Chúng đang nằm trong browser production, hệ điều hành, database, ngay bây giờ. Mythos tìm thấy 271 trong số chúng chỉ riêng trong Firefox. Cược của team rất đơn giản: ship một version mà tất cả các bug có thể tìm thấy đều được tìm và vá. Làm đầu tiên. Đặt template.
Họ đã làm được.
“Reprioritize everything” trông như thế nào thực tế
Team Mozilla đã công khai về impact: làm việc “suốt ngày đêm,” đẩy mọi thứ khác vào queue có nhãn “có thể làm sau,” chế độ sprint toàn lực từ tháng 2. Đó không phải lời cường điệu. Đó là trọng lượng của việc biết browser của bạn là công cụ hàng ngày của 200 triệu người, và đột nhiên bạn nhìn thấy 271 lỗ hổng bảo mật chưa được vá.
Đây là điều đó làm với một team:
Engineer không ngủ nhiều. On-call rotation biến mất vì mọi người đều on-call. Bạn ngừng tranh luận về solution hoàn hảo và ship cái hoạt động. Code review trở nên hiệu quả—không bike-shed, chỉ “cái này có vá bug và không tạo bug mới không?” Ưu tiên thu hẹp thành một dòng: đóng khoảng cách.
Vertigo chuyển thành hành động.
Đến cuối, bạn có một release đại diện không chỉ là patching, mà là toàn diện. 271 fixes không phải là security update; đó là audit. Nó nói: “Chúng tôi tìm ra những gì có thể tìm được ở frontier của nghiên cứu bảo mật có hỗ trợ AI, và chúng tôi vá nó.” Đó là tuyên bố. Đó là ranh giới cho ý nghĩa “secure” năm 2026.
Luận đề lỗi hữu hạn: táo bạo, dựa trên dữ liệu
Đây là tuyên bố gây tranh cãi mà team Mozilla đưa ra: cuối cùng chúng ta có thể tìm ra tất cả.
Không phải cuối cùng. Không phải về mặt lý thuyết. Bây giờ. Với Mythos.
Lập luận như sau. Các loại lỗ hổng trong browser hoặc OS không phải vô hạn. Vấn đề memory safety. Logic flaws. State confusion. Race conditions. Authentication bypasses. Crypto mistakes. Đây là các category có giới hạn. Con người có chuyên môn có thể tìm ra chúng, nhưng chậm. Mythos tìm chúng nhanh.
271 bug được vá? Không có bug nào là “alien”—lỗ hổng mà elite human researcher không thể tìm ra. Mythos không phát minh ra class mới. Nó áp dụng sự kiên nhẫn và coverage siêu nhân vào các category hiện có. Đó là sự khác biệt giữa “một người có thể tìm ra điều này nếu họ dành ba tháng cho subsystem này” và “chúng ta đã tìm ra nó vì chúng ta áp dụng AI vào nó.”
Sự khác biệt đó quan trọng.
Bởi vì nếu bug là hữu hạn, và elite researcher (được tăng cường bởi AI) có thể tìm ra tất cả, thì lợi thế của kẻ tấn công bắt đầu bay hơi. Kẻ tấn công đã chiến thắng vì bên phòng thủ luôn ở phía sau. Bên phòng thủ không có thông tin hoàn hảo. Bây giờ, với Mythos scan trở thành tiêu chuẩn, bên phòng thủ có thể có thông tin tốt hơn kẻ tấn công—ít nhất là cho browser, OS, và hạ tầng quan trọng. Sân chơi không lật ngược. Nhưng nó ngừng nghiêng quá nhiều.
Đó không phải phép thuật. Đó là dữ liệu. Đó là toàn diện. Đó là hữu hạn.
Điều này có nghĩa gì cho release tiếp theo
Đây là điều tôi nghĩ sẽ xảy ra tiếp theo, và bạn nên chú ý: các browser khác copy playbook này. Team Chromium. Safari. Tất cả những ai nghiêm túc về bảo mật sẽ chạy Mythos scan như một phần của release cycle. Nó trở thành table stakes.
Và nó nên như vậy. Không phải vì Mythos hoàn hảo—không tool nào hoàn hảo—mà vì nó thay đổi cuộc trò chuyện từ “bao nhiêu bug được ship” sang “bao nhiêu bug chúng ta tìm và vá trước khi ship?”
Defense in depth vẫn quan trọng. Sandbox vẫn quan trọng. Rust code vẫn giúp (một số memory bug đơn giản không xảy ra). Red team vẫn quan trọng. Nhưng bottleneck phát hiện lỗ hổng—thứ đã giết chết bên phòng thủ nhiều năm—đột nhiên có giải pháp.
Một điều bên phòng thủ nên làm hôm nay
Nếu bạn chịu trách nhiệm cho một sản phẩm có source code: chạy Mythos scan. Không phải vì nó sẽ giải quyết mọi thứ. Mà vì nó sẽ tìm ra những thứ con người bỏ lỡ. Và tìm ra tốt hơn ship.
Cuối cùng chúng ta có một công cụ phù hợp với lợi thế của kẻ tấn công. Nó chưa phải là chiến thắng. Nhưng đó là lần đầu tiên tôi thấy bên phòng thủ trông như có cơ hội.
Ship it.