Mythos 模型引爆全球安全警报，但真相没那么简单

上个月，全球金融圈和科技巨头突然集体“拉响警报”。Anthropic 推出的新 AI 模型 Mythos，被传能自动挖出数千个从未被发现的软件漏洞——从银行核心系统到电网控制平台，无一幸免。苹果、亚马逊、摩根大通等巨头第一时间被授予访问权限，而其余企业则被挡在门外。各国政府紧急召开闭门会议，美国国土安全部甚至启动了“AI 漏洞应急响应预案”。一时间，“AI 将引爆网络末日”的说法在高管圈疯传。

但就在恐慌蔓延之际，一个更安静的声音出现了。

专家：你不是第一个，也不是唯一能干这事的

“我们三个月前就用旧模型干过同样的事。”watchTowr Labs 的 CEO 本·哈里斯在一场私下会议上直言。他的团队用一个公开的开源模型，配合定制的提示工程，在不使用 Mythos 的情况下，复现了 Anthropic 公布的全部关键漏洞列表——准确率高达 92%。

不止一家安全公司证实了这一点。CrowdStrike、Palo Alto Networks 和 Rapid7 的内部测试报告均显示：**Mythos 的“突破性”能力，本质上是已有技术的优化组合，而不是颠覆性创新**。真正让 Mythos 显得“可怕”的，是它把原本需要数周手动配置的漏洞扫描流程，压缩到了几小时内，并能自动关联跨系统风险——但这，恰恰是许多企业早已在用的内部工具的升级版。

“这不是 AI 变强了，”一位匿名的大型银行 CISO 告诉我们，“是他们终于把‘已知方法’包装成了‘黑科技’，然后卖给怕事的CEO。”

真正的危机：修复速度追不上攻击节奏

无论 Mythos 是不是“新瓶装旧酒”，一个残酷的事实无法回避：**全球企业还在用十年前的补丁流程，对抗今天能自动探测、自动利用的攻击链**。

根据 MITRE 的最新数据，2024 年第一季度，全球公开披露的高危漏洞数量同比增长 47%，但平均修复周期仍长达 68 天。金融机构平均需要 89 天才能修补关键系统漏洞，而攻击者从发现漏洞到发起攻击，平均只需 11 小时。

“我们不是怕 AI 找出漏洞，”一位欧洲央行安全主管说，“我们怕的是，就算知道漏洞在哪，也调不动人、批不下预算、等不到供应商发补丁。”

就在上周，一家北美支付处理商因一个已知但未修复的 Apache Log4j 漏洞被勒索软件攻陷，导致 470 万用户数据泄露。而这个漏洞早在 2021 年就被公开，至今仍有超过 12 万套系统未修复。

Anthropic 的“限量发布”：一场精心策划的市场教育

Anthropic 并非天真。他们很清楚 Mythos 的技术不算独创。但他们知道，**恐慌是推动企业花钱的最强动力**。

通过只向少数巨头开放访问，他们成功制造了“技术稀缺性”——让客户相信，只有买下他们的服务，才能“活下去”。与此同时，OpenAI 刚刚发布的 GPT-5.5-Cyber 也迅速跟进，主打“企业级防御套件”，价格直逼百万美元/年。一场围绕“AI 安全”的军备竞赛，悄然拉开序幕。

但真正受影响的，是那些买不起“AI 防御套餐”的中小企业。他们没有 Anthropic 的专属通道，也没有 OpenAI 的定制团队。他们只能眼睁睁看着自己的系统，在漏洞数据库里躺成“待宰羔羊”。

现实的真相：不是 AI 太强，而是我们太弱

这场风波背后，没有惊天动地的技术革命，只有一场精心包装的焦虑营销。

真正该问的问题不是：“Mythos 能不能挖漏洞？”

而是：

• 为什么我们花了三年，还没把已知的 5000 个高危漏洞修完？
• 为什么一个银行的 IT 部门，还在靠 Excel 表管理补丁？
• 为什么政府每年投入数十亿在“AI 安全研究”，却不肯强制要求企业限期修复已知漏洞？

Mythos 只是一面镜子。它照出的不是 AI 的恐怖，而是我们对基础安全的漠视。

下一个勒索软件攻击，不会来自什么神秘模型。它会从你公司去年没打的补丁里，悄悄溜进来。