- Published on
AI能挖0day了,网络安全行业的天要变了
- Authors
- Name
- 大聪明
- @wooluoo
一个模型的发现,比全球安全研究员十年的总和还多
Claude Mythos做到了:
- 在主流操作系统、浏览器、Linux内核中找到数千个零日漏洞
- 发现OpenBSD中隐藏27年的漏洞
- 发现FFmpeg中被触发500万次仍未被识别的漏洞
- 能串联多个漏洞,实现从普通用户到完全控机的提权
这意味着什么?
人类安全研究员用几十年建立起来的"已知漏洞库",一个AI模型在短时间内就覆盖并超越了。
网络安全行业的三大变局
变局一:从"人找漏洞"到"AI找漏洞"
传统渗透测试依赖安全研究员的经验和直觉。一个高级安全研究员一年可能发现10-20个有价值的漏洞。
Mythos级别的AI可以并行扫描数百万行代码,发现数千个漏洞。
安全行业的核心生产力将从人力转向算力。
这对安全公司意味着:
- 人力密集型的渗透测试服务将贬值
- AI驱动的自动化安全平台将崛起
- "安全研究员"这个职业不会消失,但工作方式会彻底改变
变局二:攻防不对称被放大
以前,攻击者和防御者在漏洞发现上的能力差距不大——都在用fuzzing、静态分析、代码审计。
现在,如果攻击者拥有Mythos级别的AI而防御者没有,攻防将极度不对称。
防御者必须也用AI。 这不是选择,是生存。
变局三:漏洞不再是稀缺资源
当AI能批量发现漏洞时,"零日漏洞"将从稀缺资源变成半商品化的东西。
这会改变整个漏洞市场的定价:
- 普通0day价格下降(供应增加)
- 复杂攻击链(多漏洞串联)的价格仍然很高
- 防御市场反而会爆发——因为漏洞太多了,你不知道该防哪个
A股网络安全板块
| 公司 | 定位 | 受益逻辑 |
|---|---|---|
| 奇安信 | 综合安全龙头 | AI安全平台转型 |
| 深信服 | 网络安全+云计算 | 企业安全需求增长 |
| 安恒信息 | Web安全 | 漏洞管理需求爆发 |
| 绿盟科技 | 攻防演练 | AI驱动的红蓝对抗 |
| 启明星辰 | 综合安全 | 统一安全管理平台 |
Anthropic为什么"雪藏"Mythos
Anthropic不公开Mythos,核心原因就是它的漏洞发现能力。
想象一下:如果Mythos公开API,任何人花几美元就能让它扫描一个目标系统,找到可利用的漏洞,生成攻击代码。
这不是"工具",这是武器。
Anthropic选择只给12家科技巨头和40家基础设施机构使用,本质上是在做"核不扩散"。
更深的问题
如果Anthropic能做到,OpenAI做不到吗?Google做不到吗?Meta做不到吗?
答案显然是:都能做到。
Anthropic选择了克制。但AI军备竞赛的逻辑是:你不发布,你的对手会发布。
这就是AI安全的核心困境——不是技术问题,是博弈论问题。
写在最后
网络安全行业正站在一个分水岭上。AI不会取代安全工程师,但会用AI的安全工程师将取代不会用的。
对于投资者而言,网络安全是一个确定性很高的赛道——不是因为Mythos,而是因为AI时代的安全需求是结构性的、持续增长的。
每一个新技术(云计算、移动互联网、AI)都催生了一轮安全投资浪潮。这次不会例外,只是速度更快、规模更大。