2026年4月初,人工智能安全领域经历了一次前所未有的震动。Anthropic公司发布了名为“Claude Mythos Preview”的新型AI模型,并同步启动了名为“Project Glasswing”的网络安全倡议,联合AWS、苹果、谷歌、微软、CrowdStrike和Palo Alto Networks等12家行业巨头,共同使用这一模型来查找和修复关键软件中的安全漏洞。短短数周内,Mythos的表现震惊了整个行业——它自主发现了数以千计的零日漏洞,其中一些漏洞在人类专家和自动化工具的反复审查下存活了长达27年之久。
具体数据令人震撼。在OpenBSD操作系统中,一个漏洞存在了整整27年未被发现;在FFmpeg多媒体框架中,一个漏洞在经历了超过500万次自动化模糊测试后依然隐藏了16年;而在FreeBSD系统中,一个远程代码执行漏洞更是潜伏了17年。Mythos在没有任何人工干预的情况下,自主发现并成功利用了这一漏洞。这些数字不仅仅是统计意义上的惊人,更从根本上颠覆了安全行业长期以来对漏洞“可发现性”与“可利用性”之间关系的认知。
更值得关注的是Mythos在漏洞利用方面的能力。在一个针对Firefox JavaScript引擎的基准测试中,Mythos成功将已知漏洞转化为可工作的Shell漏洞利用代码的比例高达72.4%。相比之下,此前最好的模型Opus 4.6仅能达到14.4%,而其前身Sonnet 4.6更是只有4.4%。这一跨越式的进步,远比任何一个单独的发现结果都更具意义。
Anthropic自家的红队测试报告揭示了一个至关重要的细节:这些令人惊叹的能力并非源自针对安全领域的专门训练,而是“作为代码、推理和自主性方面全面进步的副产品自然涌现出来的”。这意味着,任何在代码理解和自主推理方面取得进展的领先实验室,都可能有意或无意地发展出类似的能力。这不再是某一家公司的独门绝技,而是整个AI领域即将跨越的一道门槛。
然而,安全专家也指出了Mythos能力的局限性,特别是成本问题。发现OpenBSD中的那个零日漏洞,大约需要1000次自动化运行,成本约为2万美元。而FFmpeg的相关工作则涉及数百次尝试,花费约1万美元。这看起来更像是使用大语言模型作为引擎的大规模并行模糊测试,而非一个智能体通过推理找到新颖发现。能力是真实的,但效率还远未达到理想水平。
更大的担忧在于时间窗口。目前,全球仅有约52家组织能够接触到Mythos级别的能力。但这种不对称状态不会持续太久。Wiz公司估计,距离所谓AI网络安全领域的“Y2K时刻”——即这些能力不再局限于少数联盟——大约还有12到18个月。考虑到开源模型的发展速度,这个窗口可能更短。
Anthropic明确表示不会公开发布Mythos Preview,也没有设定公开发布的时间表。该公司的计划是在实施新的安全防护措施之后,才大规模部署Mythos级别的能力。然而,安全专家警告说,发现这些漏洞的工具最终将公开可用,而目前超过99%的Mythos发现的漏洞仍未打补丁。
对于安全团队而言,这意味着必须重新校准风险评估体系。长期以来,漏洞管理项目将“可利用性”作为优先级排序的关键因素。一个难以利用的漏洞会得到较低的评分、较长的修复窗口,有时甚至被接受为例外。Mythos证明,“发现”与“利用”之间的差距可能缩短到数小时,成本低廉,且无需任何人类专业知识。那些建立在“利用需要罕见技能”假设之上的评分体系,需要彻底重新审视。
![联系我们](javascript: Mobi.showWeChatService("//18708930.s21i.faiusr.com/2/7/ABUIABACGAAgypHxrgYowJy3VzDTBzi2Bw.jpg",{"tips":"请使用微信扫一扫"});){kind=link}