就在刚刚,Anthropic发布了一条震撼全球科技圈和安全圈的消息。
「玻璃翼计划」的首月战报正式公布!
在这场秘密行动中,Anthropic首次动用下一代顶级大模型——Claude Mythos Preview。
短短30天内,它联合全球约50家网络巨头和关键基础设施软件开发方,一口气揪出超过10,000个高危或严重级别的软件漏洞!
更令人震惊的是,它不仅能找漏洞,还能「端到端」自动构建攻击链。
甚至在某家合作银行的真实业务中,成功拦截了一笔150万美元的电诈!
一时间,整个安全圈彻底震动。
有安全专家甚至在X上绝望惊呼:「互联网底座被AI翻了个底朝天……我们可能真的要凉了!」
疯狂的30天:全球科技巨头亲身体验,Mythos究竟多恐怖
2026年4月,Anthropic秘密启动了Project Glasswing。这个名称的寓意,是希望世界上最重要的闭源和开源软件变得透明且安全。
首批加入该计划的,是约50家关键基础设施软件开发方。
当他们拿到Claude Mythos Preview的测试权限后,短短一个月内,整个行业的三观都被震碎了。
来看看这份闪瞎眼的战报——
Cloudflare报告,在极度关键的核心路径系统中,Mythos一口气挖出2000个漏洞!其中有400个属于高危或严重级别。
更离谱的是,Cloudflare的安全团队惊呼:这个AI的误报率,甚至比人类顶级安全测试员还要低。
在Mozilla最新的Firefox 150浏览器测试中,Mythos一口气修复了271个高危漏洞。
这个数字是此前在Firefox 148版本中使用Opus 4.6所发现漏洞数的10倍以上!
OpenBSD报告的战绩简直让人毛骨悚然:Mythos在OpenBSD的代码库中,竟然揪出了隐藏了整整27年的陈年老Bug!
而且,模型甚至不需要人类插手,自己就构建出了完整的漏洞利用链。
英国AI安全研究所则给出了官方背书。他们确认,Mythos Preview是全球首个能够端到端完全攻克他们设置的双重网络靶场的AI模型。
Mythos在实战防御中也大显神威。
在一家合作的银行中,一个黑客团伙已经成功入侵了客户的电子邮件,并使用AI语音克隆技术拨打了欺诈电话。
就在这笔高达150万美元的电汇即将被转走的千钧一发之际,Mythos模型通过实时分析异常行为链路,瞬间识破骗局并强行阻断了交易!
「我们这群人类安全专家,看起来就像是拿着长矛的原始人,看着一架F-22战斗机从头顶飞过。」一位参与内测的安全研究员在X上感叹道。
全球数十亿台裸奔设备,被Mythos挽救了!
然而,Mythos也掀起了一场产能危机。
在过去,网络安全界的核心瓶颈是发现漏洞。找到一个高危零日漏洞,顶尖白帽黑客可能要花上几个星期甚至几个月。
而现在,Claude Mythos把寻找漏洞的成本和时间直接打到了「无限趋近于零」。
Anthropic用它对全球1000多个支撑着互联网运转的核心开源项目进行了扫描。结果令人头皮发麻
总共扫出23,019个漏洞,其中包含由Mythos评估的6,202个高危或严重漏洞!
为了确保不是AI在「胡言乱语」,Anthropic联合了6家全球顶尖的独立安全研究公司进行人工交叉复核。
结果证明:AI的真阳性(即漏洞真实存在)准确率高达90.6%!最终确认其中有1,094个是铁证如山的高危或严重漏洞。
开源漏洞仪表盘,显示所有严重程度的漏洞
这里必须提一个极其典型的案例——wolfSSL。
wolfSSL是一个极其著名的开源密码学库,全球有数十亿台设备(包括物联网设备、路由器、智能汽车等)都在使用它。
然而,在Mythos面前,wolfSSL的防线形同虚设。Mythos不仅发现了一个极其隐蔽的逻辑漏洞,它甚至自己动手写出了一套攻击代码!
利用这套代码,黑客可以随意伪造数字证书,造出极其逼真的银行网站或邮箱登录页,没有任何破绽。
如果这个漏洞没有被Mythos提前发现并提交修复,一旦被黑产利用,后果不堪设想。
全球数十亿台设备,其实一直都在危险边缘裸奔。这一次,是Mythos拉了回来。
史诗级反转:找bug不再是瓶颈,修bug才是!
随着Project Glasswing的推进,一个网络安全历史上从未出现过的奇葩现象诞生了。
「网络安全的瓶颈不再是寻找漏洞。现在的瓶颈是:人类修复漏洞的速度,远远跟不上AI发现漏洞的速度。」
对于开源社区维护者来说,这简直是一场噩梦。
Anthropic的漏洞报告就像雪片一样飞向各大开源社区。作者们已经招架不住了。
「别挖了!求求你们放慢速度!我们真的修不过来了!」
据Anthropic透露,近期有多位开源维护者发来「求饶」邮件,请求他们放缓漏洞披露的节奏。因为人手严重不足。
即使收到详细报告,人类程序员平均修复一个高危漏洞,依然需要整整两周的时间。
目前,Anthropic提交给开源作者的1129个漏洞中,目前只有75个高危漏洞被成功打上补丁。当前安全生态系统已经严重超载!
魔法打败魔法:Anthropic的防御
既然人类已经修不过来,那就用魔法打败魔法。
Anthropic果断抛出了「防御者工具包」方案。
首先是重磅上线的Claude Security。
这是专为Claude企业版客户打造的自动化神器。它的逻辑是:我不光帮你找出代码库里的漏洞,我还直接把修复补丁给你写好。
上线仅三周,企业客户就已经用Opus 4.7光速修复了超过2100个漏洞!
其次是「网络验证计划」。
Anthropic开始允许专业的白帽子、渗透测试员和红蓝对抗团队,在合法合规的前提下,解除Claude模型的一些「安全紧箍咒」,用于合法的漏洞研究和靶场测试。
更有意思的是,Anthropic直接开源了一套「抓BUG流水线」。
- 定制化指令(Skills):教你怎么让AI保持专注,进行深度的代码审查。
- 自动化框架(Harness):一个能让Claude自动遍历庞大代码库、克隆子代理并行扫描、自动分拣漏洞并生成报告的指挥系统。
- 威胁建模生成器(Threat Model Builder):直接把代码丢进去,AI会自动识别系统里最容易被攻击的「软肋」,优先安排重点防御。
网络巨头思科也站了出来,宣布开源「Foundry Security Spec」系统,搭建类似于Mythos的安全评估防线。
从此,就是AI发现漏洞,再用AI生成补丁,人类只负责最后审核。
这,才是未来网络安全的终极形态。
达摩克利斯之剑:Mythos究竟何时公开发布?
所以,Claude Mythos究竟什么时候正式开放?
Anthropic目前的态度依然非常谨慎。
他们表示,一旦构建出「更强大、更高级别的安全护栏」,Mythos级模型必将全面推向公开发布!
现在还不能放出来,因为它实在太危险了。
正如XBOW的测试报告所言:Mythos Preview在Web漏洞利用基准测试上实现了「对所有现有模型的跨代级大幅领先」,甚至在每一个Token的生成上都展现出了「绝对史无前例的精确度」。
Anthropic 清醒地认识到,当前全球没有任何一家企业具备足够强大的安全防护体系,能够百分之百确保 Mythos 模型不被恶意利用。
如果今天就将 Mythos 的 API 面向公众开放,那么明天,全球的黑客组织乃至某些极端势力,就能以极低的成本,批量生产出成千上万种零日漏洞利用工具。
届时,普通人的个人电脑、医院的医疗系统、电网的控制中枢,都将面临一场前所未有的浩劫!
对此,Anthropic 提出了以下建议:
- 缩短补丁周期!缩短补丁周期!缩短补丁周期! 别再攒着一个月才发一次更新了。必须利用现有的 AI 工具(如 Opus 4.7),尽快将安全修复推送给用户。
- 强制升级策略。 开发者必须让用户尽可能无脑地安装更新。对于那些死活不升级的用户,应采取强制断网措施。回归安全基本功。
- 强化多因素认证(MFA)、加固默认配置、保留详尽的日志。
风暴前夕的平静
风暴前夕的平静
一个月内,超过50家巨头联手,发现10000多个致命漏洞,拦截了150万美元的电诈……这仅仅是 Claude Mythos Preview 小试牛刀的战绩。
如今,人类程序员正经历阵痛期——被 AI 报告淹没,被迫修补那些潜伏了二三十年的古老 bug。
但正如 Anthropic 所展望的那样——
「跨越这些风险之后,一个令人振奋的世界正在向我们招手:在那个世界里,人类重要的代码将被淬炼得比今天坚固百倍,而黑客攻击,将成为极其罕见的历史名词。」
让我们默默感谢那些不知疲倦地审查了数亿行代码的 AI。
很可能,它刚刚为你阻挡了一次致命的核爆。
参考资料:
https://x.com/AnthropicAI/status/20579091025425495
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/36383
