Anthropic 发布新一代AI模型 Mythos，已发现数千个隐藏漏洞

周二，人工智能公司 Anthropic 正式发布了其最新大模型 Mythos 的预览版本。这款模型被内部称为“迄今最强”，并非面向公众开放，而是通过名为 “Project Glasswing” 的专属安全计划，优先提供给数十家全球顶尖科技与安全机构试用，聚焦于代码漏洞的自动发现与修复。

Mythos 是 Claude 系列的下一代通用模型，具备极强的代码理解与逻辑推理能力。虽然它不是专为网络安全设计，但在内部测试中，它已从开源项目和企业内部代码库中，自动识别出数千个此前未被发现的漏洞，其中不少属于“零日漏洞”——即厂商尚未发布补丁的高危缺陷。更令人震惊的是，其中部分漏洞竟存在于已服役一至二十年的老系统中，如早期版本的 OpenSSL、Linux 内核组件，甚至某些早已被遗忘的嵌入式设备代码。

这些发现并非偶然。测试团队表示，Mythos 能够跨越数十年的代码演进脉络，识别出因历史设计妥协、文档缺失或开发者更替而被长期忽视的逻辑陷阱。一位参与测试的安全工程师透露：“它不是在‘扫描’，而是在‘阅读’代码——像一个有二十年经验的老工程师，盯着一行行代码问：‘这里为什么这么写？’”

谁在用？苹果、微软、思科等巨头均已接入

目前，Mythos 的试用名单几乎囊括了全球网络安全生态的核心力量：Amazon、Apple、Microsoft、Cisco、Palo Alto Networks、CrowdStrike、Broadcom，以及 Linux Foundation 等数十家机构。这些组织并非简单地“测试工具”，而是共同参与一场“防御性协作”——他们将利用 Mythos 扫描自身核心系统，并在项目结束后共享发现的漏洞模式、修复策略与误报经验。

“这不是一场竞赛，而是一次集体加固。”一位 Linux Foundation 的安全主管表示，“我们都知道，单靠人工审计永远追不上代码的复杂度。现在，我们终于有了一个能帮我们看透历史积弊的伙伴。”

值得注意的是，这些机构均签署了严格的使用协议：禁止将模型用于攻击性扫描、禁止反向工程其内部机制、禁止用于自动化渗透测试。Anthropic 明确表示，任何违规行为将立即终止合作，并保留法律追责权利。

模型曝光源于一次乌龙：草稿误传，引发行业震动

Mythos 的首次公开，其实是一次意外。上个月，Anthropic 一份尚未定稿的博客草稿被错误上传至一个公开的数据湖中，被安全研究员迅速捕获并传播。这份草稿中提到：“Mythos 的漏洞发现能力，可能快于人类修补速度。”这句话在安全圈内迅速发酵。

“这不是危言耸听，”一位曾参与过 SolarWinds 事件调查的安全专家指出，“过去十年，我们见过太多‘低级漏洞’被长期忽略，而它们往往正是攻击者突破的入口。如果AI能系统性地把这些‘沉睡的炸弹’找出来，那它就是防御者最好的武器——但前提是，它不能落入坏人手里。”

与五角大楼的对峙：一边谈合作，一边打官司

就在 Mythos 低调测试的同时，Anthropic 正与美国国防部陷入一场公开法律纠纷。后者曾要求 Anthropic 开放其技术用于“自动化监控与目标识别”，但遭到拒绝。随后，国防部将 Anthropic 列入“供应链风险实体”，限制其参与联邦项目。

但讽刺的是，美国国土安全部、国家网络安全与基础设施安全局（CISA）却已与 Anthropic 展开“持续对话”，探讨 Mythos 是否可用于保护联邦关键基础设施——如电网、交通控制系统和税务系统。一位知情人士透露：“他们想用它找漏洞，但不想让它有‘自主判断权’。”

这种矛盾凸显了当前AI安全的现实困境：我们既需要它来修补系统，又害怕它被用来攻击系统。Anthropic 的选择是：不开放公众访问，不参与攻击性应用，只做“防御性助手”。

下一步：模型将如何改变安全行业？

业内普遍认为，Mythos 的出现，标志着AI在安全领域的角色从“辅助工具”转向“协同分析师”。传统漏洞扫描器依赖规则匹配，而 Mythos 能理解上下文、推理意图、识别异常模式——这使得它能发现那些“看起来没错，但其实很危险”的代码。

未来几个月，参与机构将陆续发布联合报告，公开部分非敏感漏洞类型与修复方法。有分析师预测，若 Mythos 的模式被验证有效，未来三年内，主流企业将普遍部署类似AI系统，用于代码审查、供应链审计和遗留系统评估。

但更大的问题仍在：当AI能比人类更快找到漏洞，谁来决定它该先修哪个？谁来负责它误报导致的系统停机？它的判断，是否该被审计？

Anthropic 没有给出答案。但他们做了一件事：把钥匙，只交给了那些真正想保护系统的人。