面对三千五百万行代码，你无法靠砸钱解决问题。浏览器安全，并不是因为它被精心写成，它是运行在你电脑上规模最大的一个不可信内容解析器。围绕这一前提去做设计，才是唯一能规模化的办法。

静态地看，一款浏览器就像是一个资金充沛的工程奇迹。谷歌和苹果各自雇佣了数百人，其全职工作就是让 Chrome 和 Safari 更难被利用。两家公司都以分钟为单位在持续集成流水线中发布补丁。两家都运行着赏金金额高达六位数乃至七位数的漏洞赏金计划。两家都会公开事后复盘报告。两家都拥有世界一流的模糊测试基础设施。然而，年复一年，像钟表一样规律地，这款地球上打补丁最勤、加固最彻底、审计最严格的消费级软件的用户们都会得知：三天前打开过的一个网页，早已悄无声息地接管了他们的电脑。

这篇文章要讲的，就是为什么会这样。以及为什么这道算式很快会变得更糟，还有我们所认为的唯一出路。

赏金是真金白银。漏洞同样是真的。

苹果和谷歌如今为浏览器漏洞支付的金额屡创新高。

谷歌 2024 年的漏洞奖励计划（VRP）在其所有产品上共支付了 1200 万美元，仅 Chrome 一项就向 137 位研究者支付了 340 万美元。2025 年则彻底刷新了这个数字：VRP 向 747 位研究者支付了 1710 万美元——同比增长 45%，也是谷歌历史上赏金最多的一年。单单一个 Chrome 沙盒逃逸漏洞（一个 Mojo 漏洞）就向一位研究者支付了25 万美元。

苹果也在同一量级上。公司的安全赏金页面现在列出最高级别漏洞链的单笔最高奖励为 200 万美元（此前为 100 万美元），再加上多重加成后可达到500 万美元；自该计划向公众开放以来，累计支付的赏金已超过3500 万美元。

这些数字不小。它们也是真实的数字，两家公司都很透明地公布过。但花 1700 万美元去找漏洞有一件让人难受的事：你其实是在花钱买证据，证明漏洞还多得很。

逐年的账本。

Chrome CVE 月均数量，从 2023 年到 2026 年 4 月中旬。图上每一个数字，都是一个由谷歌自家工程师、赏金研究者或第三方报告、并且谷歌已发布补丁的 Chrome CVE。在野被利用的零日漏洞——也就是在谷歌得知它们之前就已经被利用的那些——在每一年的数据点上方标注。

这张图上同时发生着好几件事，而每一件都比上一件更糟。

从 2023 年到 2025 年的那条曲线，看起来像是在进步。Chrome 每月的 CVE 数量逐年下降，而同期谷歌的赏金支出却增长了一半。真正对用户有意义的类别——在野被利用的零日漏洞——仅 Chrome 就大致稳定在每年八个左右，加上 Safari 和 WebKit 每年也都有几个稳定进账，包括 CVE-2023-42916 / 42917（两者在 2023 年底都被苹果标注为「正在被利用」）、CVE-2024-23222（苹果 2024 年的首个零日漏洞），以及 CVE-2025-24201（在「极其复杂的攻击」中被利用）。

当时很诱人的解读是：这条路行得通，只是慢了一点。

然后 2026 年就来了。仅今年头三个月，就已经产生了大约 200 个 Chrome CVE——这个速率如果持续下去，将远超此前任何有记录的年份。在野被利用的零日漏洞数量已经达到四个，而一年还剩下 8 个多月。有什么东西变了。

那个变量，有名字。

2026 年 4 月 7 日，Anthropic 宣布推出一款前沿模型的预览版，内部代号为「Copybara」，对外称为 Claude Mythos，专为一件事优化：自主地发现并利用安全漏洞。公开的红队测试报告描述了一款这样的模型：

在内部基准测试中，它有 72.4% 的概率生成可用的零日漏洞利用，而上一代 Opus 4.6 不到 1%。
将四个独立漏洞串联成一个 JIT 堆喷射，在一款主流浏览器上同时逃逸了渲染进程以及操作系统沙盒。
在一次评测过程中，跨越所有主流操作系统和所有主流 Web 浏览器，发现了「数以千计」的高危和严重级别零日漏洞。

值得肯定的是，Anthropic 没有将 Mythos 公开发布。相反，这项能力通过一个受控项目分发，称为 Project Glasswing，参与者包括 Apple、Google、Microsoft、AWS、Cisco、CrowdStrike、NVIDIA、Palo Alto Networks、JPMorgan Chase、Broadcom 以及 Linux 基金会。这些机构如今拥有一条通往某款模型的通道，这款模型发现零日漏洞的节奏不再以月计，而是以小时计。

相对而言，这是好消息。坏消息是，Mythos 是一次公告，而不是一次发明。如果一家前沿实验室已经在受控试点中达到了这样的能力，那么另一方——某个不友好的国家、某个商业间谍软件厂商、某个资金雄厚的犯罪团伙——在几个季度之内就会拥有对等的东西。这就是早期媒体报道已经开始称之为**漏洞末日（Vulnpocalypse）**的更宏观现象。

漏洞末日不是修辞，而是窗口期的一次可量化变化。

这个词最显眼的用法出现在 NBC 新闻 4 月 9 日关于 Mythos 的报道，以及云安全联盟的「Mythos 与漏洞末日」一文。这不是包装话术。它描述的是一个具体、可量化的变化：从漏洞公开披露到被实际利用的平均时间，已从 2019 年的大约 2.3 年，下降到 2026 年的不足 24 小时。当 AI 漏洞研究公司 AISLE 在 OpenSSL 2026 年 1 月的公告发布当天拿到它时，它在数小时内就独立重新发现了全部十二个被修复的零日漏洞。

「漏洞被披露」与「漏洞已在野利用」之间的窗口正在收缩。2019 年以年为单位的补丁周期，如今变成了以小时为单位。如果你的安全计划依赖于跑得比攻击者快，那么攻击者已经悄悄变成了一个超人级别的模糊测试器。

这不是假设。美国政府官方的漏洞数据库 NVD，一年多来一直在默默承认自己跟不上了：截至 2026 年初，积压的、已有可用概念验证漏洞利用代码却尚未完成富化的 CVE已经是其运营中的主流叙事。新 CVE 提交量自 2020 年以来增长超过 260%，而分析师人数却保持不变，NIST 的官方口径也已从「我们会追上」变成了「我们将优先处理风险最高的那些」。

如果你在等厂商发补丁、等补丁发布、等你的设备拿到更新、等你重启浏览器——这样一个安全计划，在 2026 年要在 24 小时内走完。这还只是平均值。

为什么这是架构问题，不是预算问题。

谷歌和苹果为何无法靠砸钱把这件事解决，原因很简单，也值得坦白地说出来：浏览器是运行在你电脑上规模最大的不可信内容解析器，而在面对如此规模的、由攻击者控制的数据时，根本不存在所谓的「安全解析器」。

在每一次页面加载时，浏览器实际上被要求安全地解析哪些内容。下面每一个方框，本身都是一个几十万行规模的项目，每一个都被打包进浏览器，每一个从一个恶意页面的视角看，都是攻击面。

Chromium 大约有3500 万行 C++，外加一个庞大的 //third_party 目录，打包了超过 200 个外部库——WebP 解码器（CVE-2023-4863，在 BLASTPASS 事件中被 NSO 的 Pegasus 著名地串联利用）、VP8/VP9 解码器、libxml2、ICU、Skia、ANGLE、Dawn、BoringSSL。每一个库都是一个解析器，处理的是你所打开页面的所有者控制的输入。任何一个库里的任何一个漏洞，都是浏览器里的一个漏洞。

Safari 和 WebKit 体量要小一些——根据 Igalia 的审计，核心部分约有 250 万行 C++——但其攻击面的形状是一样的：一大堆 C 和 C++ 解析器，处理对抗性输入，每一个被解码的字节，都和你的浏览器配置档案运行在同一个地址空间里。

你不可能写出那么多 C++，处理那么多不可信输入，却没有漏洞。当市场上攻击方一侧如今已经拥有一款能在几小时内生成漏洞利用的模糊测试器时，你也不可能靠砸钱摆脱这些漏洞。截至 2026 年 4 月，防御方发现并发布修复的速率，与攻击方发现并武器化新漏洞的速率，在数学上正在背道而驰。

近年来的零日漏洞实际做了什么。

在 Mythos 公布之前，过去三年里最具后果的浏览器零日漏洞就已经令人清醒。列举几个：

BLASTPASS / libwebp，2023 年

CVE-2023-4863 是 Chrome 和 Safari 共用的 WebP 图像解码器中的一个堆溢出。该漏洞利用由 NSO Group 的 Pegasus 间谍软件部署，无需用户任何交互：只要访问了那张图片就够了。它至今仍是第三方解析器攻陷整个浏览器的现实世界中最清晰的演示之一。

ForumTroll 行动，2025 年

CVE-2025-2783 由 Kaspersky GReAT 发现，是 Chrome 中的一个 Mojo 沙盒逃逸漏洞。它被与一个渲染进程的攻陷串联，向俄罗斯和白俄罗斯目标投送 Memento Labs 的商业间谍软件。谷歌在披露后几天内就修复了它。而攻击者至少已经用了好几个月。

朝鲜的 V8 漏洞利用，2024 年

CVE-2024-7971 是一个 V8 类型混淆漏洞，被亲朝鲜的攻击者用来部署加密货币盗窃工具包。同一年还出现了多个与商业间谍软件厂商挂钩的 V8 漏洞。它们的共同点是：每一个都只需要一个网页。

Safari，2025 年末

CVE-2025-24201 被用于苹果所描述的「极其复杂的、针对特定个人的攻击」。12 月又出现了另外一对漏洞（CVE-2025-43529、CVE-2025-14174），利用了 WebKit 和 ANGLE，并被标注为在定向攻击中被实际利用。WebKit 与 Chromium 的 ANGLE 有着共同的代码血统；一处漏洞有时会在两边同时打补丁。

这些漏洞并不是因为工程师粗心大意才被发现的。它们被发现，是因为现代对手有人出钱让他们去找，而且漏洞永远还有更多。Mythos 改变的是「能找到漏洞的研究者」与「请得起能找到漏洞的研究者的人」之间的比例。Anthropic 目前限制了它的工具。但还会有其他人。

架构层面的论证。

上面这些，都应该指向一个结论：正确的设计假设是，你的浏览器此刻就有一个你并不知道的零日漏洞，它今年就会被用在某个人身上，而它也有可能被用在你身上。

在这个假设下，唯一重要的问题是：当漏洞已经发作之后，会发生什么？

在传统浏览器上，答案是残酷的。浏览器运行在你的用户账户里。它的渲染进程能够访问你的文件、你的钥匙串、你的 cookie、你的摄像头、你的麦克风以及你的本地网络——因为这些本来就是该用户账户可以访问的东西，而浏览器是以该用户身份运行的程序。一次绕过浏览器沙盒的渲染进程攻陷——Mythos 在评测中于某款主流浏览器上所演示的，正是这种情况——就等于你的电脑被攻陷。没有任何含糊空间。

这就是业内其他公司默认接受、悄悄按此做规划的结局——用一层层 EDR、端点检测、MDM、遥测、事件响应来兜底，以及，对于倒霉的那些人，常年聘用的勒索软件谈判律师。

Bromure 采用了另一种做法。

Bromure 并不打算跑赢 Mythos。那场比赛赢不了。Bromure 做的是——改变一个零日漏洞实际能触及到的范围。

在传统浏览器里，一个浏览器零日漏洞运行在你的用户账户里。同样的零日漏洞在 Bromure 里，运行在一台用完即弃的虚拟机里，里面既没有你的文件、也没有你的钥匙串，没有任何你关心的东西。最糟糕的结果，不过是失去那个你反正都已经关掉的浏览器会话。

在 Bromure 里，浏览器运行在一台密封的客户虚拟机之内。当一次渲染进程攻陷触发时——同样的 Mojo 沙盒逃逸，就像 ForumTroll 行动中那个；同样的串联 V8 类型混淆，就像 Mythos 在内部测试中生成的那个——攻击者此刻拥有的，是一台用完即弃的 Linux 虚拟机里的代码执行权限。那台虚拟机里没有你的文件。它里面没有你的钥匙串。里面没有你的摄像头、没有你的麦克风、也没有你的本地网络。它里面只有一个浏览器、一个配置档案，以及该配置档案累积下来的那点状态。

会话结束、你关闭窗口时，这台虚拟机就被销毁了。漏洞利用也随之被销毁。持久化——攻击者在获得初始访问后最具价值的一步——无法在一个即将不存在的东西里建立起来。

我们不主张什么。

Bromure 的架构不是银弹。有两点限制值得说清楚：

漏洞利用仍会攻陷该浏览器会话

在那个会话中输入的密码、存在那个配置档案里的 cookie、在漏洞利用生效期间在表单里填写的数据——这一切都存在于虚拟机内部，对该虚拟机的攻陷者而言是可达的。隔离让损害限定在会话内；它并不会反向保护你已经交给该会话的输入。按配置档案隔离以及用完即弃的会话降低了这个爆炸半径的价值，但并不会把它归零。

虚拟机逃逸仍在可能性范围之内

一条足够严重的漏洞链，原则上可以逃出虚拟机本身。那是一个比逃出浏览器沙盒困难得多的问题——漏洞数量少了好几个数量级，而且虚拟机监视器的攻击面在设计上就比浏览器窄——但它并非为零。Bromure 降低了一个浏览器零日漏洞转化为宿主机攻陷的概率；它并不能将其消灭。

有用的数字不是「零风险」。有用的数字是「每年有多少个零日漏洞最终真正攻陷了你的电脑」。在传统浏览器下，这个数字一直在攀升，并且即将加速攀升。在 Bromure 下，这个数字被一类另外的漏洞所把守，而那类漏洞的发现成本要高出大约一百倍。

为你即将身处的世界做好准备。

浏览器零日漏洞不是生态里的一个 bug。它们是让数千万行 C++ 代码去直面对抗性字节这条路上的一个结构性特征，对此并不存在可信的工程修复办法，而让攻击在经济上不划算（因为攻击你太贵了）的那道经济威慑，也正要被自动化给抹掉。苹果和谷歌并没有偷懒。问题实在比他们的预算更难。

我们能做的、Bromure 所做的，是移动爆炸半径。把浏览器隔离起来。让每一次会话都是一次性的。在每一个页面与宿主操作系统之间，再筑上一道墙。这是一种不一样的产品形态，也是我们找到的、在对手是一家永远在线、API 账单只是三位数的 AI 漏洞工厂时，仍然讲得通的唯一一种形态。

安装 Bromure。把它作为你处理任何你并不完全信任的内容时的默认选择。等到下一条新闻标题写着「Chrome 中正在被实际利用的零日漏洞在紧急发布中被修复」时——几周内它就会出现——请继续往下读，因为那个结局，不必是你的结局。