【新智元導讀】A廠的玻璃翼計畫首戰告捷,Mythos 30天內就挖出1萬個致命漏洞,甚至攔截了150萬美元電詐!面對雪片式的報告,人類程式設計師也崩潰求饒了:「求別挖了,根本修不完啊!」
就在剛剛,Anthropic又發佈了一條震撼全球科技圈與安全圈的消息。
「玻璃翼計畫」的首月戰報,正式公佈了!
在這場秘密行動中,Anthropic首次動用了下一代頂級大模型——Claude Mythos Preview。
在短短30天內,它聯合了全球約50家網路巨頭和關鍵基礎設施軟體開發方,一口氣揪出了超過10,000個高危或嚴重等級的軟體漏洞!
更恐怖的是,它不僅能找漏洞,還能「端到端」自動建構攻擊鏈。
甚至在某家合作銀行的真實業務中,成功攔截了一筆150萬美元的電詐!
一時間,整個安全圈徹底震了。
有安全專家甚至在X上絕望驚呼:「網際網路底座被AI翻了個底朝天……我們可能真的要涼了!」
瘋狂的30天
全球科技巨頭親身體驗,Mythos究竟多恐怖
2026年4月,Anthropic秘密啟動了Project Glasswing。這個名字的寓意,是希望世界上最重要的閉源和開放原始碼軟體變得透明且安全。
首批加入該計畫的,是約50家關鍵基礎設施軟體開發方。
當他們拿到Claude Mythos Preview的測試權限後,短短一個月內,整個行業的三觀都被震碎了。
來看看這份閃瞎眼的戰報——
Cloudflare報告,在極度關鍵的核心路徑系統中,Mythos一口氣挖出了2000個漏洞!其中有400個屬於高危或嚴重等級。
更離譜的是,Cloudflare的安全團隊驚呼:這個AI的誤報率,甚至比人類頂級安全測試員還要低。
在Mozilla最新的Firefox 150瀏覽器測試中,Mythos一口氣修復了 271個高危漏洞。
這個數字是此前在Firefox 148版本中使用Opus 4.6所發現漏洞數的10倍以上!
OpenBSD報告的戰績簡直讓人毛骨悚然:Mythos在OpenBSD的程式碼庫中,竟然揪出了隱藏了整整27年的陳年老Bug!
而且,模型甚至不需要人類插手,自己就建構出了完整的漏洞利用鏈。
英國AI安全研究所則給出了官方背書。他們確認,Mythos Preview是全球首個能夠端到端完全攻克他們設定的雙重網路靶場的AI模型。
Mythos在實戰防禦中,Mythos也大顯神威。
在一家合作的銀行中,一個駭客團夥已經成功入侵了客戶的電子郵件,並使用了AI語音克隆技術撥打了欺詐電話。
就在這筆高達150萬美元的電匯即將被轉走的千鈞一髮之際,Mythos模型通過即時分析異常行為鏈路,瞬間識破了騙局並強行阻斷了交易!
「我們這群人類安全專家,看起來就像是拿著長矛的原始人,看著一架F-22戰鬥機從頭頂飛過。」 一位參與內測的安全研究員在X上感嘆道。
全球數十億台裸奔裝置,被Mythos挽救了!
然而,Mythos也掀起一場產能危機。
在過去,網路安全界的核心瓶頸是發現漏洞。找到一個高危零日漏洞,頂尖白帽駭客可能要花上幾個星期甚至幾個月。
而現在,Claude Mythos把尋找漏洞的成本和時間直接打到了「無限趨近於零」。
Anthropic用它對全球1000多個支撐著網際網路運轉的核心開放原始碼專案進行了掃描。結果令人頭皮發麻——
總共掃出 23,019 個漏洞,其中包含由Mythos評估的 6,202 個高危或嚴重漏洞!
為了確保不是AI在「胡言亂語」,Anthropic聯合了6家全球頂尖的獨立安全研究公司進行人工交叉覆核。
結果證明:AI的真陽性(即漏洞真實存在)精準率高達90.6%! 最終確認其中有1,094個是鐵證如山的高危或嚴重漏洞。
開源漏洞儀表盤,顯示所有嚴重程度的漏洞
這裡必須提一個極其典型的案例——wolfSSL。
wolfSSL是一個極其著名的開源密碼學庫,全球有數十億台裝置(包括物聯網裝置、路由器、智能汽車等)都在使用它。
然而,在Mythos面前,wolfSSL的防線形同虛設。Mythos不僅發現了一個極其隱蔽的邏輯漏洞,它甚至自己動手寫出了一套攻擊程式碼!
利用這套程式碼,駭客可以隨意偽造數字證書,造出極其逼真的銀行網站或者信箱登錄頁,沒有任何破綻。
如果這個漏洞沒有被Mythos提前發現並提交修復,一旦被黑產利用,後果不堪設想。
全球數十億台裝置,其實一直都在危險邊緣裸奔。這一次,是Mythos拉了回來。
史詩級反轉:找bug不再是瓶頸,修bug才是!
隨著Project Glasswing的推進,一個網路安全歷史上從未出現過的奇葩現象誕生了。
「網路安全的瓶頸不再是尋找漏洞。現在的瓶頸是:人類修復漏洞的速度,遠遠跟不上AI發現漏洞的速度。」
對於開源社區維護者來說,這簡直是一場噩夢。
Anthropic的漏洞報告就像雪片一樣飛向各大開源社區。作者們已經招架不住了。
「別挖了!求求你們放慢速度!我們真的修不過來了!」
據Anthropic透露,近期有多位開源維護者發來「求饒」郵件,請求他們放緩漏洞披露的節奏。因為人手嚴重不足。
即使收到詳細報告,人類程式設計師平均修復一個高危漏洞,依然需要整整兩周的時間。
目前,Anthropic提交給開源作者的1129個漏洞中,目前只有75個高危漏洞被成功打上補丁。當前安全生態系統已經嚴重超載!
魔法打敗魔法:Anthropic的防禦
既然人類已經修不過來,那就用魔法打敗魔法。
Anthropic果斷拋出了「防禦者工具包」方案。
首先是重磅上線的 Claude Security。
這是專為Claude企業版客戶打造的自動化神器。它的邏輯是:我不光幫你找出程式碼庫裡的漏洞,我還直接把修復補丁給你寫好。
上線僅三周,企業客戶就已經用Opus 4.7光速修復了超過2100個漏洞!
其次是「網路驗證計畫」。
Anthropic開始允許專業的白帽子、滲透測試員和紅藍對抗團隊,在合法合規的前提下,解除Claude模型的一些「安全緊箍咒」,用於合法的漏洞研究和靶場測試。
更有意思的是,Anthropic直接開源了一套「抓BUG流水線」。
1 定製化指令(Skills): 教你怎麼讓AI保持專注,進行深度的程式碼審查。
2 自動化框架(Harness): 一個能讓Claude自動遍歷龐大程式碼庫、克隆子代理平行掃描、自動分揀漏洞並生成報告的指揮系統。
3 威脅建模生成器(Threat Model Builder): 直接把程式碼丟進去,AI會自動識別系統裡最容易被攻擊的「軟肋」,優先安排重點防禦。
網路巨頭思科也站了出來,宣佈開源「Foundry Security Spec」系統,搭建類似於Mythos的安全評估防線。
從此,就是AI發現漏洞,再用AI生成補丁,人類只負責最後稽核。
這,才是未來網路安全的終極形態。
達摩克利斯之劍:Mythos究竟何時公開發佈?
所以,Claude Mythos究竟什麼時候正式開放?
Anthropic目前的態度依然非常謹慎。
他們表示,一旦建構出「更強大、更高等級的安全護欄」,Mythos級模型必將全面推向公開發佈!
現在還不能放出來,因為它實在太危險了。
正如XBOW的測試報告所言:Mythos Preview在Web漏洞利用基準測試上實現了「對所有現有模型的跨代級大幅領先」,甚至在每一個Token的生成上都展現出了「絕對史無前例的精確度」。
Anthropic非常清楚,目前世界上沒有任何一家公司擁有足夠強大的安全機制,能100%確保這個模型不被濫用。
如果今天就把Mythos的API公之於眾,明天全球的駭客組織、甚至某些極端組織,就能以極低成本批次生產出成千上萬個Zero-day利用工具。
普通人的電腦、醫院的系統、電網的控制中樞,將面臨一場浩劫!
Anthropic給出的建議是:
1 縮短補丁周期!縮短補丁周期!縮短補丁周期! 別攢著一個月發一次更新了,利用現有的AI工具(如Opus 4.7),盡快把安全修復推給使用者。
2 強制升級策略。 開發者必須讓使用者儘可能無腦地安裝更新,對於那些死活不升級的使用者,採取強制斷網。 回歸安全基本功。
3 強化多因素認證(MFA)、加固默認配置、保留詳盡的日誌。風暴前夕的平靜
風暴前夕的平靜
一個月,超50家巨頭聯手,10000+致命漏洞,攔截150萬美元電詐……這僅僅是Claude Mythos Preview小試牛刀的戰績。
現在,人類程式設計師在經歷陣痛期——被AI報告淹沒,修補潛伏二三十年的bug。
但正如Anthropic在所展望的那樣——
「跨越這些風險之後,一個令人振奮的世界正在向我們招手:在那個世界裡,人類重要的程式碼將被淬煉得比今天堅固百倍,而駭客攻擊,將成為極其罕見的歷史名詞。」
讓我們默默感謝一下那些不知疲倦地審查了數億行程式碼的AI。
很可能,它剛剛為你阻擋了一次致命的核爆。 (新智元)