## AI挖漏洞月入上万,浏览器Agent超Operator:软件安全的两条新路
昨天科技圈出了两件事,放在一起看特别有意思。
**第一件:Anthropic的Project Glasswing。** 上线一个月,AI自动挖掘出超过1万个高危和关键级别漏洞,涉及约50家合作伙伴的关键软件。Anthropic说"修不过来"——漏洞太多,安全团队来不及处理。这听起来像凡尔赛,但确实暴露一个新问题:AI让发现漏洞的成本趋近于零,但修漏洞的人力和流程没有跟上。
**第二件:微软Fara1.5系列模型。** 专为浏览器场景设计的AI Agent,27B参数版本在WebArena评测中72%任务成功率,超过OpenAI的Operator。三个尺寸(4B/9B/27B)覆盖从边缘到云端的部署场景。关键是——它跑在浏览器里,意味着它可以填表、下单、登录,做所有人类在浏览器里做的事情。
这两条新闻指向同一个趋势:**AI正在从"内容生成"进入"自动化操作"阶段。**
Glasswing证明AI可以替代安全工程师的重复劳动(挖洞),Fara1.5证明AI可以替代日常浏览器操作(填表、点击、提取信息)。一个替代脑力体力活,一个替代指尖操作。
但两个问题随之而来:
1. **安全悖论**:AI挖洞越多,软件越安全——但安全团队越忙,修洞成本越高。这不是技术问题,是经济学问题。
2. **浏览器Agent的安全隐患**:一个能自动操作浏览器的AI,权限边界在哪里?Fara1.5跑在用户浏览器里,谁能保证它不被滥用?
AI自动化在推进,但安全和信任体系的建设还差得远。这条赛道的技术门槛在降低,但治理门槛在升高。
加载回复中...