Anthropic公司推出的“神话”系统将引发网络安全大反思——但和你想象的不一样

Anthropic公司发布的Mythos Preview模型，具备自主识别操作系统、浏览器及其他软件中各类漏洞，并自动生成有效攻击代码（exploit）的能力。为控制风险，该公司仅向微软、苹果、谷歌、Linux基金会等数十家组织开放该模型，共同参与名为“Project Glasswing”（玻璃翼计划）的安全合作项目。这一发布引发业界广泛争议：有人质疑其能力被夸大，指出当前AI工具已能辅助发现和利用漏洞，企业修补流程虽在优化，但整体安全范式并未剧变；也有人担忧Anthropic借渲染模型“神秘”“独家”“超强”来谋取商业利益。但更多一线安全专家（如云安全公司Edera首席技术官Alex Zenla、资深安全工程师Niels Provos）认可其突破性——尤其在构建“漏洞利用链”（exploit chains）方面：即串联多个漏洞、实现多阶段深度入侵（类似“鲁布·戈德堡式”自动化攻击），包括无需用户点击的“零点击攻击”。专家强调，Mythos本身并未创造新威胁，而是显著降低了发现与组合利用复杂漏洞的技术门槛。当前有限开放，实为给防御方争取宝贵窗口期：用该模型主动扫描自身系统弱点，并加速推动软件开发流程变革——例如缩短更新周期、提升补丁采纳率、落实“安全左移”（secure by design）。美国财政部与美联储已紧急召集金融行业高层研讨潜在影响；思科高管称其“意义极其重大”，强调未来防御必须达到“机器级规模”，以应对机器级攻击。也有声音认为舆论反应过度，类比为AI炒作周期中的又一阵风；但更多人主张，应借此类里程碑事件唤醒全行业：过去数十年，全球投入巨资建设“检测-响应-修复”体系，本质是在为本不该存在的软件缺陷“擦屁股”。Project Glasswing的真正价值，在于推动AI从“帮我们防守有缺陷的软件”，转向“帮我们从一开始就造出更安全的软件”——这不是终结网络安全使命，而是终结我们习以为常的、被动救火式的网络安全模式。Zenla比喻道：Mythos不是一道闪电，而是一次量变积累——就像百万个漏洞研究员中，人类因记忆与思维局限难以长期维持复杂上下文，故极少发现长链可协同漏洞；而AI正加速这一过程。格局已然改变，只是需要时间落地。