2026年4月7日,Anthropic宣布其最新、能力最强的通用大型语言模型Claude Mythos Preview展现出惊人的非预期能力:它能够以史无前例的速度发现并利用软件漏洞,即最严重的软件缺陷。这一消息迅速在全球公共部门、各国政府及信息技术行业引发了对当前AI威胁网络安全的广泛担忧,一些观点甚至将其视为全球性的网络安全威胁。
Anthropic声称发布该模型风险过高,并出于披露这些漏洞的道德责任,决定暂不向公众开放。相反,该公司通过一个名为“Project Glasswing”的计划,独家授权科技巨头测试该模型的能力。
尽管Mythos的能力令人印象深刻,但专家认为该AI系统并未带来根本性的变革。Mythos与其说是一个新的威胁,不如说是一面镜子,映照出现代系统固有的脆弱性以及人们的行为模式。
在一次受控评估中,即使是安全经验最少的工程师,也能通过提示Mythos扫描数千个软件代码库来寻找漏洞。该模型展示了令人震惊的多步骤自主攻击能力,而通常人工专家需要数周甚至数月才能完成此类攻击。Mythos不仅在Mozilla的Firefox中发现了271个漏洞,还成功开发了其中181个漏洞的利用程序。
Anthropic的红队(负责模拟攻击以测试防御体系)与英国AI安全研究所报告称,Mythos在主流操作系统、网络浏览器及其他应用程序中发现了数千个零日漏洞(即此前未报告的漏洞),这些缺陷尚未打补丁,可以立即转化为攻击利用。据报道,美国国家安全局的官员在测试Mythos后,对其发现软件漏洞的速度和效率印象深刻。
广泛报道的案例包括Mythos识别出OpenBSD(一个注重安全的操作系统)中一个潜伏了27年的安全漏洞,以及FFmpeg(一款视频/音频处理工具)中一个16年的bug。其中一些漏洞甚至允许未经身份验证的用户获取托管这些应用程序机器的控制权。
更令人震惊的是,参与Mythos评估的相对缺乏经验的工程师,能够利用Mythos在一夜之间完成从发现漏洞到利用攻击的整个过程——这对于人类专家来说通常需要数周时间。模型这种链式多步骤攻击的能力尤为突出。