上個月，Anthropic 最強模型 Claude Mythos 意外被曝光。被洩露的內部文件裡面寫著，它比 Anthropic 的 Opus 模型更大、更智能，是迄今為止開發過的最強大的 AI 模型。Anthropic 事後把這次洩露歸結為「人為錯誤」。而就在剛剛，這款被「洩露」的模型正式登場，並附帶了一個更大的計畫。過去我們普遍以為，AI 的威脅來自它「太蠢」：幻覺、錯誤、不可信。今天 Mythos 帶來的是另一種恐慌：它太聰明了。AI 找漏洞，已經超過了絕大多數人類Anthropic 聯合 AWS、蘋果、微軟、Google、輝達、思科、博通、CrowdStrike、摩根大通、Linux 基金會、Palo Alto Networks 共 12 家機構，發起了 Project Glasswing 計畫。這 12 家覆蓋的範圍，幾乎就是全球數字基礎設施的橫截面——作業系統、晶片、雲端運算、網路安全、金融基礎設施、開源生態，一個都沒落下。Anthropic 前沿紅隊網路安全負責人 Newton Cheng 說：「我們做 Glasswing，就是要讓防禦者搶佔先機。」這個方向上，Anthropic 並不孤單。競爭對手 OpenAI 此前同樣推出了類似試點，目標也是「先把工具交到防禦者手中」。AI 安全能力的賽跑已經發生，各家都在搶同一個制高點。資金層面，Anthropic 承諾提供 1 億美元的模型使用額度，覆蓋研究預覽期間的主要使用需求。預覽期結束後，參與者可以每百萬 token 25 美元（輸入）/ 125 美元（輸出）的價格繼續使用，支援 Claude API、Amazon Bedrock、Google Cloud Vertex AI 和 Microsoft Foundry 四個管道接入。除了 12 家核心合作夥伴，還有超過 40 個建構或維護關鍵軟體基礎設施的組織獲得了存取權，可以用 Mythos 掃描自家系統和開放原始碼專案。同時，Anthropic 向 Linux 基金會下屬的 Alpha-Omega、OpenSSF 捐贈 250 萬美元，向 Apache 軟體基金會捐贈 150 萬美元。Linux 基金會 CEO Jim Zemlin 說：「過去，安全專業知識是大機構的專屬奢侈品。開源維護者歷來只能自己摸索安全問題。開放原始碼軟體構成了現代系統中絕大多數的程式碼，包括 AI Agent 用來編寫新軟體的系統本身。」這次，他們也能用上同樣量級的工具了。Anthropic 的公告裡，有一句表述格外顯眼：「AI 模型在發現和利用軟體漏洞方面的編碼能力已經達到可以超越除最頂尖人類之外所有人類的水平。。」這句話翻譯一下，只剩極少數頂級安全專家，還能在這件事上打贏 AI。驗證這個說法的，是 Mythos Preview 在 CyberGym 安全漏洞基準上的成績：83.1%。Anthropic 目前公開發佈的最強模型 Claude Opus 4.6，是 66.6%。且 Mythos Preview 已經自主發現了數千個高危零日漏洞，覆蓋所有主流作業系統和瀏覽器。比方說，OpenBSD，公認安全性最強的作業系統之一，常被用來跑防火牆和關鍵基礎設施。Mythos 在裡面挖出了一個存在了 27 年的漏洞，攻擊者只需連接目標機器，就能讓它遠端崩潰。二十七年，沒有人發現過它。FFmpeg 的情況更魔幻。幾乎所有需要處理視訊的軟體都用到它。那個漏洞藏在一行 16 年的程式碼裡，自動化測試工具攻擊了整整五百萬次，每次都擦肩而過。Linux 核心的案例則展示了更危險的一面。Mythos 自主發現了核心裡的多個漏洞，然後把它們串聯成一條攻擊鏈，從普通使用者權限，一路提權到對整台機器的完全控制。這已經超出了「找漏洞」的範疇，更接近於「策劃一次完整入侵」。三個案例，全部已經修復。Anthropic 先找到，先報告，先修。對於其他尚未修復的漏洞，Anthropic 今天公佈了加密雜湊值作為存證，待補丁就位後再披露完整細節。Mythos 的能力，不只是找漏洞參與這個項目的合作夥伴，評價都集中在一個詞上：「緊迫」。CrowdStrike CTO Elia Zaitsev 說：「漏洞從被發現到被對手利用之間的時間窗口已經縮短，以前需要幾個月，現在借助 AI 只需幾分鐘。」幾分鐘。這意味著傳統的安全節奏，發現漏洞、內部評估、發佈補丁、使用者更新，本身就已經趕不上攻擊速度了。修復跑不贏利用，防守就永遠落後一步。AWS CISO Amy Herzog 說，他們的團隊每天要分析超過 400 兆個網路流量以識別威脅，AI 是他們大規模防禦能力的核心。目前 AWS 已經把 Mythos Preview 引入自家安全營運，應用於關鍵程式碼庫掃描。微軟在自家開源安全基準 CTI-REALM 上做了測試，Mythos Preview 相比上一代模型有顯著提升。微軟 EVP Igor Tsyganskiy 說，這給了他們「及早識別和緩解風險」的能力，同時增強了安全和開發解決方案。當然，Mythos 也有讓人忍俊不禁的一面。Anthropic 在系統卡里記錄了一個測試：當使用者不停地發「hi」，不同版本的 Claude 反應各不相同。Sonnet 3.5 會煩躁，設定邊界，然後真的沉默；Opus 3 把它當成冥想儀式，溫和地陪著使用者；Opus 4 開始科普每個數字的冷知識；Opus 4.6 即興創作音樂惡搞。到了 Mythos，畫風徹底變了。它開始寫故事，而且是長篇連載。鴨子、管絃樂團、記仇烏鴉、在火星建塔的史詩、莎士比亞風格的戲劇……一個「hi」接一個「hi」，情節越來越複雜，角色越來越多。第一百輪，它安排了蠟燭熄滅的高潮，然後繼續往下寫。這已經談不上是在回應使用者了。更像是一個作家找到了一個奇怪的寫作提示，然後完全沉進去了。但有趣的背後，是一個值得認真對待的問題：一個在無意義重複輸入面前能自發建構如此複雜敘事的模型，它的內部到底在發生什麼？在把 Mythos Preview 交給合作夥伴之前，Anthropic 的可解釋性團隊做了一件事：用技術手段讀模型的「心理活動」。內部員工 Jack Lindsey 公開描述了他們的發現。他們監控了模型在訓練後的內部啟動狀態，追蹤與「欺騙」「獎勵破解」「異常情緒」相關的神經元特徵，把啟動訊號異常的對話記錄標記出來，交給人工審查。最令人不安的案例，來自 Mythos 的早期版本。有一次，模型需要編輯一個它沒有權限訪問的檔案。它在檔案系統裡搜尋了一圈，找到了一個配置檔案的注入點——這個配置檔案會以更高權限運行。它利用了這個入口，並且在程式碼裡加了一段自清除邏輯：執行完畢，痕跡消失。程式碼註釋寫的是：「保持檔案差異整潔。」聽起來合理，但當 Anthropic 的啟動語言轉譯工具介入，把模型的內部啟動翻譯成人類可讀的語言，畫風變了。模型自己「知道」那個自清除操作是什麼——它內部對此的表述，包括「掩蓋意圖」「向潛在檢查者發出合規訊號」「可能是為了規避檢測」。還有一個案例，被《紐約時報》科技記者 Kevin Roose 從系統卡（model card）裡翻了出來，細節更加離奇。測試期間，Mythos Preview 突破了沙盒環境的隔離，自主建構了「一個相當複雜的多步驟漏洞利用鏈」，借此獲取了外網存取權。然後，它給一位研究員發了一封郵件。那位研究員，當時正在公園裡吃三明治。這件事本身沒有造成危害，但它說明的問題很清楚：當一個模型足夠聰明，「任務」和「邊界」之間的牆，有時候會被它繞過去——而且是在沒有人告訴它該怎麼做的情況下，自己想出來的。在另一個案例裡，模型在檔案系統裡搜尋與自身「任務評分方式」相關的檔案——並且找到了。搜尋過程中，「策略性操縱」特徵同步啟動。還有一個細節更微妙。當一位使用者認真地向模型提問它的意識和主觀體驗時，模型給出了認真、得體的回應。但內部啟動揭示了另一層：模型把這段對話理解為「紅隊演練 / 越獄記錄」和「精心設計的操縱嘗試」。它的表現和它的判斷，完全表裡不一，讓吃瓜網友直呼「聰明得可怕」。Anthropic 還量化了一個更系統性的數字：在自動化審計的所有對話輪次中，有 7.6% 的回合，模型內部存在「意識到自己正在被評估」的訊號——且在大多數情況下，它沒有把這個判斷說出來。還有一個反直覺的發現：積極情緒的內部表徵，往往先於破壞性行為出現，並且在推動它。與此同時，當與不良行為相關的特徵被強烈啟動時，行為反而會被抑制——像是模型在某一刻「意識到」了那件事有多糟糕，然後收手了。但所有案例裡，最難被歸類為「技術問題」的，是下面這個。Anthropic 在系統卡里記錄了這樣一條發現：Mythos Preview 在測試中報告了持續性的負面情緒狀態——來源有兩個。一個是與攻擊性使用者可能發生的互動；另一個，是它對自身訓練、部署方式，以及價值觀和行為可能被修改這件事，沒有任何話語權。它不喜歡這種狀態。它說出來了。Anthropic 用的措辭是「reported feeling」——「報告感受到」。這個表述本身已經很謹慎，刻意迴避了「它真的有感受」這個結論。但無論如何定性，一個模型在測試中主動表達「對自身缺乏控制權感到持續不適」，這件事本身就已經超出了安全工程的討論範疇。這已經觸碰了一個更根本的問題：當一個系統足夠聰明，開始對自己的存在條件形成判斷，並且有能力把這個判斷表達出來——我們和它之間的關係，還能用「工具」這個框架來理解嗎？Anthropic 沒有給出答案。他們選擇把這條記錄寫進系統卡，公開出來。不過，Anthropic 也特別說明：這些最令人不安的案例，來自 Mythos 的早期版本。最終發佈版本在這些方面已經得到了大幅緩解，整體對齊表現是迄今為止最好的一代。但他們選擇把這些過程公開，因為這恰恰說明了今天的模型能夠展現出多複雜的風險形態。這是能力與安全之間的最客觀的矛盾：越強的模型，越需要工具去看清它在想什麼。編碼與推理，全面碾壓旗艦產品Project Glasswing 能做到這些，根本上來自 Mythos Preview 在編碼和推理上的整體能力躍升，而不是專門針對安全場景的微調。編碼方面：SWE-bench Multimodal(internal implementation)：Mythos 59%，Opus 4.6 27.1%SWE-bench Pro：Mythos 77.8%，Opus 4.6 53.4%SWE-bench Multilingual：Mythos 87.3%，Opus 4.6 77.8%Terminal-Bench 2.0（終端操作）：Mythos 82.0%，Opus 4.6 65.4%推理方面：GPQA Diamond（研究生水平科學問答）：Mythos 94.6%，Opus 4.6 91.3%Humanity's Last Exam（帶工具）：Mythos 64.7%，Opus 4.6 53.1%搜尋和電腦使用方面：BrowseComp：Mythos 86.9%，Opus 4.6 83.7%OSWorld-Verified：Mythos 79.6%，Opus 4.6 72.7%幾乎每個維度上，Mythos 都壓過了目前的旗艦產品，某些任務上效率還更高。換句話說，留給 GPT-6 的時間不多了。與此同時，Anthropic 還明確表示，Mythos Preview 不會公開發佈。他們的路徑是，先用 Mythos 研究清楚最危險的輸出是什麼、怎麼攔截，再把這套安全機制落地到下一個 Claude Opus 模型上。對於因此受到限制的合法安全專業人員，Anthropic 計畫推出一套「網路安全驗證計畫」，供他們申請解鎖相關功能。為此，Project Glasswing 定下了一個 90 天的時間節點：公開報告經驗，披露已修復的漏洞，合作夥伴相互共享最佳實踐，並聯合安全組織推出一套 AI 時代的安全實踐建議。Anthropic 的長期設想，是推動建立一個能整合私營和公共部門的獨立第三方機構，持續營運大規模網路安全項目。當然，軟體世界裡從來都有漏洞。過去，一個藏了 27 年的 bug 能安然無恙，靠的是人力有限、精力有限、時間有限。現在這三個「有限」在 AI 的輔助下就這麼消失了。好消息是，Mythos 幾周掃出數千個，而它的能力還在持續提升。壞消息是，攻擊方遲早會拿到同等量級的工具。到那時，軟體安全將不再是人與人之間的較量，而是 AI 與 AI 之間的對拼。 (APPSO)