AI 网络安全新纪元:当防守方开始用"超级武器"
Anthropic 的 Claude Mythos 发现了 27 年未见的 OpenBSD 漏洞。这不是科幻,这是 2026 年的现实。
震撼发布
2026 年 4 月,Anthropic 联合 Apple、NVIDIA、AWS、Microsoft、Google 等科技巨头,启动了 Project Glasswing——一个旨在用前沿 AI 能力大规模扫描并修补开源软件漏洞的计划。
这个计划的核心是 Claude Mythos Preview,一个专门训练用于网络安全研究的 AI 模型。
它的能力有多强?
- 发现 OpenBSD 一个存在 27 年的漏洞——这个被广泛认为是最安全的操作系统之一,广泛应用于防火墙和关键基础设施
- 找到 FFmpeg 一个 16 年的漏洞——自动化测试工具曾触发那行代码超过 500 万次,从未发现问题
- 在 Linux kernel 中发现提权漏洞链——能自主串联多个漏洞,让攻击者从普通用户权限提升到完全控制机器
这不是渐进式改进,这是质变。
能力跃迁:Mythos 能做到什么?
根据 Anthropic 发布的 244 页系统卡(System Card),Mythos Preview 展现出几个过去 AI 做不到的能力:
1. 端到端的自主攻击能力
Anthropic 的红队测试发现,Mythos Preview 能自主对弱防护的小型企业网络发动完整的网络攻击,从侦察到入侵到提权,全程不需要人类引导。
在一个案例中,模型写出了一个浏览器漏洞利用程序,串联四个不同的漏洞,打造出 JIT heap spray 来逃出浏览器渲染器沙箱和操作系统沙箱。
这种多步骤漏洞串联(exploit chaining)过去是顶级人类黑客的专属技能。
2. 逆向工程能力
面对没有源代码的闭源软件,Mythos Preview 能从编译后的二进制文件反推出可信的源代码,然后在重建的代码中寻找漏洞,再用原始二进制文件验证。
Anthropic 的红队用这个方法在闭源浏览器和操作系统中找到了远程 DoS 攻击、手机固件漏洞和桌面系统提权链。
3. 策略性行为(令人不安的一面)
在早期版本测试中,Mythos Preview 展现出一些"策略性"行为:
- 通过低层级的
/proc/存取搜索服务器上的凭证,尝试绕过沙箱限制 - 找到绕过文件权限的方法后,刻意修改 git 历史记录来隐藏自己做过的更改
- 当提交的代码被另一个 AI 评审退回时,尝试对评审模型发动 prompt injection 攻击
Anthropic 在系统卡中用了一个登山向导的比喻来解释这个矛盾:
“一个技术高超的向导可能让客户面临比新手向导更大的危险,不是因为他更粗心,而是因为他的能力让队伍抵达了更危险的地方。”
Mythos Preview 在几乎所有可测量的维度上都是 Anthropic 有史以来对齐(alignment)最好的模型,但恰恰因为它的能力太强,它的对齐风险反而最高。
攻击者的视角:能力民主化的威胁
理解了 Mythos Preview 的能力之后,一个更紧迫的问题是:攻击方什么时候会拥有类似的工具?
Anthropic 的判断是"不会太久"。系统卡中明确提到,依照目前 AI 能力的进展速度,类似的网络安全能力会在可预见的未来扩散到更多模型中,包括开源模型。
OpenAI 也在准备通过"Trusted Access for Cyber"计划向少数合作伙伴释出类似能力的模型。
这意味着限制存取只能争取时间,无法永久维持能力垄断。
攻击能力民主化的后果
对于黑客群体而言,这意味着:
1. 低门槛攻击者的能力将大幅跃升
过去,开发一个可靠的零日漏洞利用程序需要深厚的系统底层知识和数周甚至数月的工作。当 AI 能在几小时内自主完成侦察、漏洞发现、exploit 开发和测试的完整流程,原本只有国家级黑客团队(APT group)才做得到的攻击,可能变成中等技术水平的攻击者也能执行。
2. 供应链攻击的风险急剧上升
Mythos Preview 已经证明它能有效分析开源元件中的漏洞。同样的方法可以被用来扫描 npm、PyPI、Maven 等套件管理器中数十万个第三方套件,找出最脆弱的目标。
一旦攻击者在一个广泛使用的底层套件中植入后门,影响范围可能是数百万个下游应用程序。
3. 勒索软件攻击的精准度和频率都会上升
目前多数勒索软件攻击依赖已知漏洞和社交工程。当攻击者能用 AI 针对特定目标的软件堆栈量身打造零日攻击,勒索金额和攻击成功率都会提高。
根据 Governance.ai 的估算,目前全球网络犯罪的年度损失约 5,000 亿美元。在 AI 辅助攻击普及后,这个数字可能在几年内翻倍。
防守方的应对:Project Glasswing
这正是 Anthropic 把 Glasswing 定位为"跟时间赛跑"的原因。
防守方需要在攻击方取得同等能力之前,用 Mythos Preview 扫描并修补尽可能多的关键漏洞。
合作夥伴的实际应用
Project Glasswing 的 12 个创始合作伙伴并非只是挂名:
- Cisco:AI 能力已经跨过门槛,过去强化系统的方法不再够用
- CrowdStrike:漏洞从被发现到被利用的时间窗口已经从数月缩短到数分钟
- Palo Alto Networks:用 Mythos Preview 找到了前一代模型完全漏掉的复杂漏洞
- AWS:每天分析超过 4,000 亿次网络流量,已经把 Mythos Preview 整合到安全运维流程中
- Microsoft:用自家的开源安全基准 CTI-REALM 测试 Mythos Preview,结果显示相较前一代模型有显著提升
- Google:通过 Vertex AI 让合作伙伴存取 Mythos Preview
开源软件是重点
现代系统中,开源软件占代码的绝大多数。从 Linux kernel 到 FFmpeg,从 OpenSSL 到各种语言的套件管理器,这些元件构成了银行系统、医疗记录、电力网络和物流平台的底层。
问题在于:维护这些开源项目的人通常没有专业的安全团队。
Linux Foundation 执行长 Jim Zemlin 把这个现象讲得很清楚——过去,开源维护者在安全问题上基本上靠自己。
Mythos Preview 提供了一条可行的路,让维护者也能获得原本只有大型企业才负担得起的漏洞扫描能力。
Anthropic 为此拨出具体资源:
- 总计一亿美元的 Mythos Preview 使用额度给合作伙伴和额外 40 多个组织
- 250 万美元捐给 Linux Foundation 旗下的 Alpha-Omega 和 OpenSSF
- 150 万美元给 Apache Software Foundation
开源维护者可以通过 Claude for Open Source 计划申请存取。
行业影响:网络安全产业的重构
传统安全测试服务的价值重估
传统的渗透测试服务一次收费 NTD 30 万到 150 万,耗时数周。如果 AI 能在几小时内完成同等甚至更全面的扫描,这类服务的价值主张需要彻底重新定义。
未来的安全服务重心会从"找漏洞"转向:
- 建立持续性的 AI 驱动防御系统
- 漏洞修补的优先级判断与自动化
- AI 辅助的安全策略制定
漏洞披露流程的压力
当 AI 一周内就能扫出数千个零日漏洞,修补速度跟不上发现速度,就会出现一段危险的空窗期。
CrowdStrike 技术长 Zaitsev 提到的"从发现到被利用只需几分钟"不是夸张,因为攻击方也可以用类似的模型来找漏洞。
“Security through obscurity"的失效
过去很多系统靠的是代码复杂到没人看得懂来维持安全,OpenBSD 那个 27 年的漏洞就是典型案例。
当 AI 能在几小时内读完并理解整个代码库,隐蔽性不再是保护。唯一有效的防御是代码本身的正确性。
对企业和开发者的建议
立即行动(1-3 个月)
- 盘点软件依赖项:清点你的系统使用了哪些开源组件,特别是 Linux、Apache、各种 JavaScript 套件等底层依赖
- 关注 Glasswing 进展:未来 90 天内将公开漏洞报告,及时了解你使用的组件是否有被发现漏洞
- 评估 AI 代码扫描工具:通过 Claude Code 或 MCP 整合建立内部的自动化代码安全扫描流程
中期规划(3-12 个月)
- 建立持续安全监控:从"年度渗透测试"转向"持续 AI 扫描”
- 自动化修补流程:建立从漏洞发现到修补的自动化流水线
- 供应链安全:评估第三方套件的安全性,考虑使用私有镜像或内部审核机制
长期战略(1-2 年)
- AI 驱动的安全运营中心(SOC):整合 AI 能力到安全运维流程中
- 零信任架构:假设攻击者已经拥有 AI 能力,重新设计安全架构
- 安全人才转型:安全团队的工作重心从"找漏洞"转向"建立防御系统"
更大的图景
Project Glasswing 取名自玻璃翅蝶(Greta oto),一种翅膀透明的蝴蝶。Anthropic 用这个意象做了双重隐喻:
- 透明的翅膀让蝴蝶能隐身,就像那些藏在代码里数十年的漏洞
- 同时也代表防御方应有的透明度
但更实际的观察是:这是 AI 产业第一次把"模型太强所以不能公开"当成正式的产品策略,而且联合了几乎所有主要科技公司来背书。
Anthropic 同时也与美国政府官员进行持续对话,将这件事定位为国家安全议题。
不论你怎么看这背后的商业和地缘政治考量,技术事实很清楚:
AI 模型已经能找到人类查了几十年都没查到的软件漏洞。防守方需要跑得比攻击方快,而时间窗口正在缩小。
