Anthropic 发布 Claude Mythos:当 AI 开始主动"挖虫",网络安全格局悄然改变

关键词: AI安全、漏洞挖掘、Project Glasswing、Claude Mythos

事情是怎么发生的

2026年4月7日,Anthropic发布了Claude Mythos Preview模型。这个消息本来没什么特别——大模型发布已经是家常便饭了。但仔细看公告内容,你会发现这次不太一样。

Anthropic没有发布通用模型,而是联合苹果、微软、英伟达、AWS、谷歌、博通、思科、CrowdStrike、摩根大通、Linux基金会、Palo Alto Networks在内的12家机构,启动了一个叫做 Project Glasswing 的项目。Mythos模型的首批用途,不是写代码、不是客服问答,而是专门去挖软件里的安全漏洞

这是AI第一次以如此规模、如此正式的方式进入网络安全攻防领域。

Mythos 到底有多能"抓虫"

官方给出的数字很具体:

  • 在数周内,Mythos自主识别了数千个零日漏洞,覆盖主流操作系统和浏览器
  • 发现了OpenBSD中一个已存在27年的远程崩溃漏洞
  • 定位到FFmpeg中一个经过500万次模糊测试都未检出的16年老旧漏洞
  • 能自主串联Linux内核中多个看似无关的漏洞,最终实现权限提升

从基准测试数据看:

  • SWE-bench Verified:78.5%(Claude Opus 4.6是70.1%)
  • Terminal-Bench 2.0:92.1%
  • CyberGym网络安全基准:显著超越前代

有一个细节值得关注:传统的漏洞扫描工具(比如静态分析、模糊测试)主要处理孤立的、有固定模式的漏洞。而Mythos展现出的是多步推理能力——它能从A漏洞推理到B漏洞,再推导出组合后的C危害,这种思维方式更接近真实黑客的攻击路径。

为什么只给12家公司用,而不公开

Anthropic在公告里很直白地说:这个模型具有"双重用途"的风险。

这不是谦虚,而是真实的困境。一个能自动发现零日漏洞的AI,放在防御方手里是神器,放在攻击方手里也是神器。

所以他们选择了一条中间路线:

  1. 先在可信机构中小范围测试
  2. Anthropic承诺提供1亿美元的模型使用额度支持安全研究
  3. 向Linux基金会和Apache软件基金会捐赠400万美元,专门用于开源软件的安全维护
  4. 90天内公开进展,并与政府机构共同制定AI安全实践标准

这个思路和早年比特币圈的"负责任披露"有几分相似:在漏洞被坏人利用之前,先把补丁推出去。只不过这次推进速度要快得多——AI让漏洞从被发现到被利用的时间窗口从数月缩短到了数分钟

对开发者意味着什么

防御侧

如果你维护开源项目,这件事值得认真对待。Mythos能识别的漏洞类型,很多是现有工具(Valgrind、AFL++、Semgrep)扫不出来的。未来一段时间内,可能会有大量"史前漏洞"集中爆出来。

一个建议是提前梳理一下自己项目的安全债:

# 一个简单的起点,检查已知CVE
pip install safety
safety check

# 对C/C++项目,启用地址消毒器
gcc -fsanitize=address -g your_code.c

攻击面理解

Mythos揭示了一类特别危险的漏洞类型:时序问题(Race Condition)。FFmpeg那个16年漏洞,本质上就是并发状态下的内存操作顺序问题,人眼极难察觉。写C/C++嵌入式代码的开发者需要对这类代码多加警惕:

// 危险:多线程环境下的裸指针操作
void process(char *buf, size_t len) {
    static char *cached = NULL;
    if (cached == NULL) {
        cached = malloc(len);  // 竞态窗口在这里
    }
    memcpy(cached, buf, len);
}

// 安全:加锁保护
pthread_mutex_t lock = PTHREAD_MUTEX_INITIALIZER;

void process_safe(char *buf, size_t len) {
    pthread_mutex_lock(&lock);
    static char *cached = NULL;
    if (cached == NULL) {
        cached = malloc(len);
    }
    memcpy(cached, buf, len);
    pthread_mutex_unlock(&lock);
}

更大的背景:1000亿美元的网络安全市场

Anthropic没有做慈善。Project Glasswing背后是一个明确的商业判断:全球网络安全市场规模超过1000亿美元,而传统安全工具的能力正在被日益复杂的软件系统拖累。

Mythos的定价也印证了这一点:

  • 输入:每百万token 25美元
  • 输出:每百万token 125美元

这是远高于通用模型的价格,说明Anthropic对其专业价值非常自信。

网络安全ETF(美股代码HACK、BUG等)在这个消息出来后已经连涨6天。市场的反应比任何技术分析都直接。

小结

Mythos的发布,标志着AI安全应用从"辅助分析"正式进化到了"自主发现"。对普通开发者来说,近期可能要做好迎接一批老旧漏洞批量曝光的准备,提前做好安全加固总比被动打补丁强。

对于嵌入式和系统编程领域,这个趋势的影响会更直接——固件漏洞的发现速度将大幅加快,安全编码规范的重要性已经不是可选项了。

# 人工智能 # 安全
Logo
AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐

cover

连锁门店智慧联网解决方案:构建可靠、安全、智能的门店网络新底座

avatar AtomGit开源社区
cover

真理层的形式化边界:绝对硬度与域内封闭性

avatar AtomGit开源社区

十分钟搞懂LangChain、LangGraph与DeepAgents:从入门到实战选择指南

2026 年,构建 AI Agent 已经成了开发者必备技能。但一打开 LangChain 生态,你会看到三个名字反复出现:DeepAgents、LangChain、LangGraph。在 LangChain 生态中,LangChain、LangGraph 和 DeepAgents(deepagents 库)构成了一个清晰的抽象层级金字塔。这种设计让开发者可以由浅入深选择:想快速上手就用高层,想极

avatar AtomGit开源社区