Published on

Claude Mythos:网络安全的天变了

Authors

Claude Mythos:网络安全的天变了

一枚炸弹

2026年4月7日,Anthropic扔了一枚炸弹。

它叫 Claude Mythos——一个尚未公开发布的前沿AI模型,已经在所有主流操作系统和浏览器中发现了数千个高危漏洞

不是几十个。不是几百个。是数千个

而且它不只是找到漏洞。它能构建完整的攻击链——从一个最基本的组件缺陷开始,一步步串起来,最终拿下整个系统。

Anthropic说了一句话,值得所有人重视:

AI models have reached a level of coding capability where they can surpass all but the most skilled humans at finding and exploiting software vulnerabilities.

翻译:AI在发现和利用软件漏洞方面,已经超越了几乎所有人类安全专家。

为什么这件事意义重大

第一,它发现的是"最基本组件"的问题

过去我们认为,高危漏洞藏在复杂的业务逻辑里、藏在冷门的第三方库里。需要深入研究才能找到。

Mythos说不是。

它发现的漏洞,大量存在于最基础的组件中——操作系统内核、浏览器引擎、网络协议栈。这些东西跑了十几年、被几千个安全专家审计过,人类觉得"应该没问题了"。

但AI看到了人类看不到的东西。它不需要休息,不需要灵感,不需要运气。它系统地、逐行地、24小时不停地扫描。任何模式、任何异常、任何逻辑缺陷,都逃不过它。

这意味着:我们过去几十年建立的"安全审计"体系,可能已经失效了。 人类能审计到的,只是人类认知范围内的漏洞。超出人类认知范围的,一直躺在那里,等着被AI发现。

第二,它能构建攻击链

单点漏洞是一回事,攻击链是另一回事。

一个缓冲区溢出,本身可能只是"可以crash程序"。但如果在它之前叠加一个信息泄露、之后接一个权限提升——就变成了完整的远程代码执行。

过去,构建攻击链是人类安全研究员最核心的能力。这需要创造力、经验、对系统的深刻理解。现在AI也能做了。

当一个AI能同时找到多个漏洞并把它们串起来的时候,攻击面从"点"变成了"面"。 每一个单独看似低危的缺陷,都可能是致命攻击链的关键一环。

第三,这是防御,也是潜在的武器

Anthropic很聪明。他们没有直接发布Mythos,而是搞了一个 Project Glasswing——把AWS、Apple、Google、Microsoft、Cisco、CrowdStrike、Palo Alto Networks等12家巨头拉到一起,用Mythos来做防御。还承诺了1亿美元的算力信用额和400万美元的开源安全捐赠。

表面上是好事。但问题是:

如果你能发现所有漏洞,你就拥有了对所有系统的上帝视角。

今天Anthropic用Mythos做防御。明天呢?后天呢?如果其他AI公司训练出了类似能力的模型,但没有Anthropic的安全承诺呢?如果这些能力扩散到国家级黑客组织呢?

Anthropic自己在公告里承认了这一点:

Given the rate of AI progress, it will not be long before such capabilities proliferate, potentially beyond actors who are committed to deploying them safely.

他们自己都说:这种能力很快就会扩散,可能扩散到不安全的行为者手中。

对网络安全行业的冲击

传统渗透测试:危了

一个安全团队花三个月做的渗透测试,Mythos可能三天就做完了,而且覆盖面更广、发现更深入。这不是取代某个安全工程师,是取代整个渗透测试行业的商业模式

漏洞赏金:重新定义

HackerOne、Bugcrowd这些平台的顶级白帽子,可能要面对一个残酷的现实:你花一周找到的漏洞,AI可能一秒就找到了。 人类的价值将从"发现漏洞"转移到"理解业务上下文"和"评估实际影响"。

安全产品:必须进化

WAF、IDS/IPS、EDR这些防御产品,面对AI生成的攻击链可能完全无力。因为AI发现的攻击方式可能前所未见——没有签名、没有特征、没有任何历史数据可以参考。基于已知威胁模型的防御体系,需要彻底重构。

国家安全:新的军备竞赛

网络安全一直是国家级对抗的重要战场。现在AI可以自动发现漏洞、构建攻击链,这意味着:

  • 进攻成本急剧降低——不再需要顶尖黑客,一个AI模型就够了
  • 防御时间窗口急剧缩小——漏洞被发现到被利用的时间可能从"月"缩短到"小时"
  • 关键基础设施面临前所未有的威胁——电网、金融系统、交通网络,都运行着存在未知漏洞的基础软件

这就是为什么Anthropic拉了这么多巨头进来——他们知道,如果这种能力被滥用,后果是灾难性的。

更深层的问题

这件事最让我不安的,不是Mythos本身。

而是:Anthropic能做到的事,其他AI实验室大概率也能做到。或者很快就能做到。

大语言模型的代码能力在过去两年飞速提升。从"能写简单脚本"到"能发现操作系统内核漏洞",这个跳跃比所有人预期的都快。而AI进步的速度还在加速。

今天Mythos是防御工具。明天同样能力的模型可能就是网络战争的核武器。

一个国家如果率先把这种能力武器化,可以对其他国家的关键基础设施造成毁灭性打击——不需要一发导弹,只需要一个API调用。

这不是科幻。这是Anthropic在4月7日告诉全世界的事实。

我们该怎么办

对于安全从业者:

  1. 拥抱AI,不要对抗——学会用AI工具辅助安全审计,提升效率
  2. 重新聚焦——从"找漏洞"转向"理解系统"、"评估风险"、"设计架构"
  3. 关注攻击面管理——既然漏洞不可避免,减少攻击面比逐个修补更实际

对于企业:

  1. 立即盘点关键基础设施的依赖链——搞清楚你依赖了哪些基础组件
  2. 加速补丁管理——AI时代的漏洞利用速度,不允许你再等一个月打补丁
  3. 零信任不是可选项——在AI能攻破任何边界的时代,默认不信任一切

对于所有人:

网络安全的天变了。不是将要变,是已经变了。 2026年4月7日,Anthropic用Mythos告诉我们:AI发现了我们不知道自己不知道的东西。

这不是结束,这是开始。

参考资料:Anthropic - Project Glasswing,2026年4月7日发布

Discuss on TwitterView on GitHub