超越顶级黑客的AI诞生了 — Anthropic为何选择锁定它

OpenBSD被公认为世界上安全性最强的操作系统。一个隐藏了27年的漏洞始终未被发现。AI找到了它。

独自完成，全程自动。而那个AI，目前还没有人能用。

你还觉得AI安全工具只是"辅助"吗？

说实话，直到不久前这个判断还是对的。AI安全扫描器擅长识别已知模式，真正的零日漏洞仍然是顶尖安全研究人员的专属领域。

2026年4月，这个认知被正式推翻了。Anthropic公布了一个名为 Claude Mythos Preview 的未发布模型，基准测试数据相当惊人。 anthropic

比数字更直接的是专家评价。独立安全机构XBOW称Mythos达到了absolutely unprecedented precision（前所未有的精度），英国AI安全研究所宣布它是"第一个完整解决其网络靶场的模型"。 anthropic

以前的安全AI发现漏洞后会停在"这里有些可疑"。Mythos找到漏洞、将其转化为真实的攻击代码，再把多个漏洞串联成更大规模的攻击。 不只是识别漏洞，而是自动完成完整的渗透测试。 blog.cloudflare

27年、16年的漏洞是怎么被找到的？

用数字说话。Mythos Preview扫描了1,000多个开源项目，共发现23,019个问题，其中6,202个评级为高风险或严重。 6家独立安全研究团队核实了其中1,752个，90.6%确认为真实漏洞。 anthropic

即使你不了解wolfSSL，你的设备很可能也在使用它。它是物联网设备、嵌入式系统和汽车中数十亿台设备使用的加密库。利用这个漏洞，攻击者可以伪造证书——让假网站在浏览器中显示为正常的绿色锁标。 现在已经打上补丁了。 helpnetsecurity

Cloudflare在其代码库中发现了2,000个漏洞，其中400个评级为高风险或严重。误报率低于人工测试人员。 Mozilla在Firefox 150中发现了271个漏洞，是用Claude Opus 4.6扫描旧版本时的10倍以上。 blog.cloudflare +1

那为什么Anthropic不公开它？

这里是核心所在。Mythos Preview不对普通用户开放，访问权限仅限于特定合作伙伴组织，公开发布被推迟到"增加更强安全机制之后"。 anthropic

这不只是"太危险了，先锁住"。真正的逻辑是：同样的AI可以攻击也可以防御——谁先用决定结果。 攻击者获得这种能力只是时间问题——所以要让防御方先用上它。 anthropic

这就是 Project Glasswing——2026年4月成立的行业防御联盟。 anthropic

AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks

— Project Glasswing 11家创始伙伴

最初有50个合作伙伴，到2026年6月已扩展到150多个组织，覆盖15个以上国家。韩国也在其中——Samsung、SK Hynix、SK Telecom是合作伙伴。 Anthropic承诺提供最多1亿美元的模型使用积分，并向开源基金会直接捐款400万美元。 techcrunch +1

成果已经显现。合作银行拦截了一笔150万美元的欺诈转账，Palo Alto Networks的补丁速度是平时的5倍。 anthropic

你的团队现在该做什么

1. 先梳理开源依赖项
   就像wolfSSL一样，你可能在使用自己都不知道的库。用npm audit、pip-audit或trivy立刻检查依赖树，并通过GitHub Dependabot或Snyk自动化漏洞告警。
2. 缩短补丁部署周期
   行业平均补丁部署时间为60～150天。 AI把发现时间压缩到了数周，但如果补丁跟不上就毫无意义。将安全补丁的自动验证和部署构建进CI/CD流水线，这是现在最紧迫的结构性改变。 edaily.co
3. 申请Claude Security候补名单
   Anthropic正在为企业用户运行Claude Security公测。使用Claude Opus 4.7，3周内修复了2,100个漏洞的初期数据已出炉。 现在报名，开放时可以快速行动。 anthropic
4. 加固架构层面的防御
   Cloudflare的经验：「只打补丁是不够的。」 WAF、零信任架构和系统分割需要同步推进。即使发现了漏洞，攻击者也可能在补丁发布前就已进入。 blog.cloudflare
5. 理解AI对AI的时代
   AI驱动的漏洞发现加速在Mythos之前就已开始。 防御团队如果不使用AI工具，将越来越难以跟上AI驱动攻击的速度。 edaily.co