过去一周，业界对 Anthropic 公司 Glasswing 项目反应两极分化：一方担忧 AI 能自主识别并利用漏洞，另一方则认为并无新意。

云安全联盟（CSA）最新简报给出更务实视角。该报告由 Knostic 公司 CEO 兼 CSA 驻场 AI CISO 盖迪·埃夫龙、SANS 研究所首席 AI 官罗伯·T·李及 CSA 首席分析师里奇·莫格尔牵头完成，汇聚前 CISA 局长珍·伊斯特利、布鲁斯·施奈尔、前国家网络总监克里斯·英格利斯、前谷歌 CISO 菲尔·维纳布尔斯等数十位行业领袖见解。

Cloud Security Alliance Announces Launch of CCSK v4

埃夫龙强调：“网络安全本质上是共同体，关键时刻需消除噪音、传播有效信息。”

报告结论明确：Glasswing 并非孤例，而是 AI 规模化能力的早期范例，CISO 应立即准备。“短期内，安全团队将疲于应对补丁部署、AI 发现的漏洞、利用程序及自主攻击。Glasswing 引发的漏洞披露风暴，只是第一波巨浪。”

速度决定变革

AI 驱动的漏洞发现早已存在，但速度已发生质变。过去需数周或数月的漏洞发现、利用构建与攻击链组装，如今仅需数小时即可完成。

Frontier AI's Impact on the Cybersecurity Landscape

报告指出，Anthropic 的 Claude Mythos 预览版标志着能力跃升：它能自主发现主流操作系统和浏览器的数千关键漏洞，无需人工指导即可生成有效利用程序，并实现自主攻击编排，速度与规模远超以往。

这种加速加剧了攻防不对称性——防御方必须永远正确，攻击方只需成功一次。报告强调：“从漏洞发现到武器化的时间窗口已缩短至小时级。当前补丁周期、响应流程和风险指标体系均未针对这种环境设计。构建‘抗 Mythos’安全体系，不是应对单一模型，而是要永久缩短漏洞发现与响应速度的差距。”

Claude Mythos Found 27-Year-Old Bugs. Your Unpatchable Devices Are Exposed.

Claude Mythos 预览版能力进阶

英国 AI 安全研究所（AISI）独立评估显示，在模拟 32 步企业网络攻击（从初始侦察到完全接管）的测试中，Mythos 预览版表现优于其他 AI 系统，人类完成相同攻击平均需要 20 小时。

Government's trailblazing Institute for AI Safety to open doors in San Francisco - GOV.UK

AISI 测试还证实，Mythos 预览版在获得初始访问后，能自主攻击防护薄弱的中小企业系统。“测试表明，更多具备此类能力的模型将会出现。”

CISO 应对策略

AISI 建议企业强化基础安全措施，包括定期更新、严格访问控制、安全配置和完整日志记录。“未来前沿模型能力将持续增强，当前对网络防御的投资至关重要。AI 网络安全能力具有双重用途，既能带来挑战，也能推动防御能力突破性提升。”

Transcript: House Hearing on DHS and CISA Role in Securing AI | TechPolicy.Press

CSA 报告提出三项预测： 运营层面：早期接入计划的约 40 家供应商将密集发布补丁，可能重现近期需两周内应对多起供应链事件的情况。 风险管理：业务风险形态变化要求加强与利益相关方的风险规划协商，CISO 风险管理空间将受挤压，影响报告和预测机制。 战略层面：需开展长期差距分析，选择性重构关键技术功能，包括加速技术落地和部署 AI 驱动安全控制的治理流程。

报告将 Mythos 上升至董事会层级议题，帮助 CISO 争取资源投入。正如 CSA 报告总结：“基于 AI 的攻击正在重构攻防范式，这种趋势不可逆转。漏洞利用的成本门槛持续降低，披露到武器化的时间趋近于零，曾经需要国家资源的攻击能力正变得触手可及。”