新智元报道
【新智元导读】A厂的玻璃翼计划首战告捷,Mythos 30天内就挖出1万个致命漏洞,甚至拦截了150万美元电诈!面对雪片式的报告,人类程序员也崩溃求饶了:「求别挖了,根本修不完啊!」
就在刚刚,Anthropic又发布了一条震撼全球科技圈与安全圈的消息。
「玻璃翼计划」的首月战报,正式公布了!
在这场秘密行动中,Anthropic首次动用了下一代顶级大模型——Claude Mythos Preview。
在短短30天内,它联合了全球约50家网络巨头和关键基础设施软件开发方,一口气揪出了超过10,000个高危或严重级别的软件漏洞!
更恐怖的是,它不仅能找漏洞,还能「端到端」自动构建攻击链。
甚至在某家合作银行的真实业务中,成功拦截了一笔150万美元的电诈!
一时间,整个安全圈彻底震了。
有安全专家甚至在X上绝望惊呼:「互联网底座被AI翻了个底朝天……我们可能真的要凉了!」
疯狂的30天
全球科技巨头亲身体验,Mythos究竟多恐怖
2026年4月,Anthropic秘密启动了Project Glasswing。这个名字的寓意,是希望世界上最重要的闭源和开源软件变得透明且安全。
首批加入该计划的,是约50家关键基础设施软件开发方。
当他们拿到Claude Mythos Preview的测试权限后,短短一个月内,整个行业的三观都被震碎了。
来看看这份闪瞎眼的战报——
Cloudflare报告,在极度关键的核心路径系统中,Mythos一口气挖出了2000个漏洞!其中有400个属于高危或严重级别。
更离谱的是,Cloudflare的安全团队惊呼:这个AI的误报率,甚至比人类顶级安全测试员还要低。
在Mozilla最新的Firefox 150浏览器测试中,Mythos一口气修复了 271个高危漏洞。
这个数字是此前在Firefox 148版本中使用Opus 4.6所发现漏洞数的10倍以上!
OpenBSD报告的战绩简直让人毛骨悚然:Mythos在OpenBSD的代码库中,竟然揪出了隐藏了整整27年的陈年老Bug!
而且,模型甚至不需要人类插手,自己就构建出了完整的漏洞利用链。
英国AI安全研究所则给出了官方背书。他们确认,Mythos Preview是全球首个能够端到端完全攻克他们设置的双重网络靶场的AI模型。
Mythos在实战防御中,Mythos也大显神威。
在一家合作的银行中,一个黑客团伙已经成功入侵了客户的电子邮件,并使用了AI语音克隆技术拨打了欺诈电话。
就在这笔高达150万美元的电汇即将被转走的千钧一发之际,Mythos模型通过实时分析异常行为链路,瞬间识破了骗局并强行阻断了交易!
「我们这群人类安全专家,看起来就像是拿着长矛的原始人,看着一架F-22战斗机从头顶飞过。」 一位参与内测的安全研究员在X上感叹道。
全球数十亿台裸奔设备,被Mythos挽救了!
然而,Mythos也掀起一场产能危机。
在过去,网络安全界的核心瓶颈是发现漏洞。找到一个高危零日漏洞,顶尖白帽黑客可能要花上几个星期甚至几个月。
而现在,Claude Mythos把寻找漏洞的成本和时间直接打到了「无限趋近于零」。
Anthropic用它对全球1000多个支撑着互联网运转的核心开源项目进行了扫描。结果令人头皮发麻——
总共扫出 23,019 个漏洞,其中包含由Mythos评估的 6,202 个高危或严重漏洞!
为了确保不是AI在「胡言乱语」,Anthropic联合了6家全球顶尖的独立安全研究公司进行人工交叉复核。
结果证明:AI的真阳性(即漏洞真实存在)准确率高达90.6%! 最终确认其中有1,094个是铁证如山的高危或严重漏洞。
开源漏洞仪表盘,显示所有严重程度的漏洞
这里必须提一个极其典型的案例——wolfSSL。
wolfSSL是一个极其著名的开源密码学库,全球有数十亿台设备(包括物联网设备、路由器、智能汽车等)都在使用它。
然而,在Mythos面前,wolfSSL的防线形同虚设。Mythos不仅发现了一个极其隐蔽的逻辑漏洞,它甚至自己动手写出了一套攻击代码!
利用这套代码,黑客可以随意伪造数字证书,造出极其逼真的银行网站或者邮箱登录页,没有任何破绽。
如果这个漏洞没有被Mythos提前发现并提交修复,一旦被黑产利用,后果不堪设想。
全球数十亿台设备,其实一直都在危险边缘裸奔。这一次,是Mythos拉了回来。
史诗级反转:找bug不再是瓶颈,修bug才是!
随着Project Glasswing的推进,一个网络安全历史上从未出现过的奇葩现象诞生了。
「网络安全的瓶颈不再是寻找漏洞。现在的瓶颈是:人类修复漏洞的速度,远远跟不上AI发现漏洞的速度。」
对于开源社区维护者来说,这简直是一场噩梦。
Anthropic的漏洞报告就像雪片一样飞向各大开源社区。作者们已经招架不住了。
「别挖了!求求你们放慢速度!我们真的修不过来了!」
据Anthropic透露,近期有多位开源维护者发来「求饶」邮件,请求他们放缓漏洞披露的节奏。因为人手严重不足。
即使收到详细报告,人类程序员平均修复一个高危漏洞,依然需要整整两周的时间。
目前,Anthropic提交给开源作者的1129个漏洞中,目前只有75个高危漏洞被成功打上补丁。当前安全生态系统已经严重超载!
魔法打败魔法:Anthropic的防御
既然人类已经修不过来,那就用魔法打败魔法。
Anthropic果断抛出了「防御者工具包」方案。
首先是重磅上线的 Claude Security。
这是专为Claude企业版客户打造的自动化神器。它的逻辑是:我不光帮你找出代码库里的漏洞,我还直接把修复补丁给你写好。
上线仅三周,企业客户就已经用Opus 4.7光速修复了超过2100个漏洞!
其次是「网络验证计划」。
Anthropic开始允许专业的白帽子、渗透测试员和红蓝对抗团队,在合法合规的前提下,解除Claude模型的一些「安全紧箍咒」,用于合法的漏洞研究和靶场测试。
更有意思的是,Anthropic直接开源了一套「抓BUG流水线」。
1 定制化指令(Skills): 教你怎么让AI保持专注,进行深度的代码审查。
2 自动化框架(Harness): 一个能让Claude自动遍历庞大代码库、克隆子代理并行扫描、自动分拣漏洞并生成报告的指挥系统。
3 威胁建模生成器(Threat Model Builder): 直接把代码丢进去,AI会自动识别系统里最容易被攻击的「软肋」,优先安排重点防御。
网络巨头思科也站了出来,宣布开源「Foundry Security Spec」系统,搭建类似于Mythos的安全评估防线。
从此,就是AI发现漏洞,再用AI生成补丁,人类只负责最后审核。
这,才是未来网络安全的终极形态。
达摩克利斯之剑:Mythos究竟何时公开发布?
所以,Claude Mythos究竟什么时候正式开放?
Anthropic目前的态度依然非常谨慎。
他们表示,一旦构建出「更强大、更高级别的安全护栏」,Mythos级模型必将全面推向公开发布!
现在还不能放出来,因为它实在太危险了。
正如XBOW的测试报告所言:Mythos Preview在Web漏洞利用基准测试上实现了「对所有现有模型的跨代级大幅领先」,甚至在每一个Token的生成上都展现出了「绝对史无前例的精确度」。
Anthropic非常清楚,目前世界上没有任何一家公司拥有足够强大的安全机制,能100%确保这个模型不被滥用。
如果今天就把Mythos的API公之于众,明天全球的黑客组织、甚至某些极端组织,就能以极低成本批量生产出成千上万个Zero-day利用工具。
普通人的电脑、医院的系统、电网的控制中枢,将面临一场浩劫!
Anthropic给出的建议是:
1 缩短补丁周期!缩短补丁周期!缩短补丁周期! 别攒着一个月发一次更新了,利用现有的AI工具(如Opus 4.7),尽快把安全修复推给用户。
2 强制升级策略。 开发者必须让用户尽可能无脑地安装更新,对于那些死活不升级的用户,采取强制断网。 回归安全基本功。
3 强化多因素认证(MFA)、加固默认配置、保留详尽的日志。风暴前夕的平静
风暴前夕的平静
一个月,超50家巨头联手,10000+致命漏洞,拦截150万美元电诈……这仅仅是Claude Mythos Preview小试牛刀的战绩。
现在,人类程序员在经历阵痛期——被AI报告淹没,修补潜伏二三十年的bug。
但正如Anthropic在所展望的那样——
「跨越这些风险之后,一个令人振奋的世界正在向我们招手:在那个世界里,人类重要的代码将被淬炼得比今天坚固百倍,而黑客攻击,将成为极其罕见的历史名词。」
让我们默默感谢一下那些不知疲倦地审查了数亿行代码的AI。
很可能,它刚刚为你阻挡了一次致命的核爆。
参考资料:
https://x.com/AnthropicAI/status/20579091025425495
编辑: Aeneas Moses