乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > AI 一个月找出一万个漏洞,你的软件该更新了

AI 一个月找出一万个漏洞,你的软件该更新了

当前时间: 2026-05-27 22:54:12 更新时间: 2026-05-27 分类:软件教程 评论(0)

AI 一个月找出一万个漏洞,你的软件该更新了

🛡️ Anthropic 的通用推理模型 Mythos Preview 扫描了 1000+ 开源项目,发现超 6000 个高危漏洞。AI 找漏洞的速度远超人类修补的速度——你的软件,该更新了。

🔍 一个让人后背发凉的数字

4 月,Anthropic 发布了一个叫 Mythos Preview 的 AI 模型。它不是专门为安全研究训练的——而是一个通用推理模型。但它在安全领域的表现,让所有人都没想到。

自发布以来,Anthropic 用它扫描了 1000 多个开源软件项目,模型初步评估发现了 6202 个高危或严重漏洞。经独立安全机构人工抽样验证,其中 90.6% 是真正的漏洞,62.4% 确认为高危或严重级别。也就是说,即使按最严格的标准,真实的高危漏洞数量也相当惊人。

Cloudflare 用它扫了自己的核心系统,找到 2000 个 bug,其中 400 个为高危或严重级别;Mozilla 用它检查 Firefox,找到 271 个漏洞,是上一个版本的 10 倍

一句话:AI 找漏洞的能力,已经远超人类的想象。

🧠 它是怎么做到的?

Mythos Preview 不是那种”扫描一下代码语法”的简单工具。它像真正的安全研究员一样工作——读懂代码逻辑,构思攻击路径,然后构造出真正能用的攻击代码。

举一个真实的例子。

wolfSSL 是一个被全球数十亿设备使用的加密库,负责让你的网络连接更安全。Mythos Preview 在这个库里找到了一个漏洞,利用它可以伪造银行的 HTTPS 证书——也就是说,你以为自己打开了银行官网,其实打开的是黑客的钓鱼网站,而浏览器显示的安全锁标志一模一样。

这个漏洞已经被修复(CVE-2026-5194),但想想看:在 AI 发现它之前,这个漏洞可能已经存在很久了。

英国 AI 安全研究所的测试也印证了这一点:Mythos Preview 是第一个通过他们两个网络攻防靶场的 AI 模型。这不是比人类快一点,是做到了人类之前做不到的事。

✅ 好消息:软件正在被快速修补

事情有积极的一面。

AI 找到漏洞后,各家公司的修复速度明显加快了:

Palo Alto Networks 最新一次发布的补丁数量是平时的 5 倍
Microsoft 表示补丁数量”将持续增长”
Oracle 称漏洞发现和修复速度提升了好几倍

Anthropic 牵头的 Project Glasswing 项目,集结了 AWS、Apple、Google、Microsoft、NVIDIA 等 50 多家合作伙伴,专门用 AI 来加固全球最关键的基础设施软件。

据统计,Mythos Preview 发现的高危漏洞,从被报告到被修复平均只需要 2 周——这远快于行业平均水平。

⚠️ 坏消息:修得快,但找得更快

问题在于——AI 找漏洞的速度,远远超过人类修漏洞的速度。

这不是技术问题,是数学问题:AI 几秒钟就能扫描完一个项目,但每个漏洞都需要人工验证、写补丁、测试、发布。开源项目的维护者大多是志愿者,本来就人手不足。

现在的情况更严峻了。Anthropic 透露,有好几个开源维护者直接找到他们,说:“你们能不能慢一点?” 因为他们已经来不及修了。

这不是矫情。AI 生成的大量低质量漏洞报告已经在淹没维护者的收件箱。Mythos Preview 虽然准确率高得多(经验证的高危漏洞中 90.6% 是真阳性),但数量本身就是一种压力。

💬 更值得关注的是:Mythos Preview 是一个通用推理模型,它的安全能力不依赖于特殊安全工具链——而是推理能力本身的自然涌现。这意味着,同等能力的通用模型一旦被其他人开发出来,安全场景会自然浮现,包括那些不想修补漏洞的人。

同样的 AI,好人用来修 bug,坏人用来找漏洞。这才是真正需要担心的。

🛠️ 普通人现在该做什么?

说了这么多,你可能会问:这跟我有什么关系?

关系很大。你用的浏览器、手机系统、路由器固件,都在这波 AI 扫描的范围内。漏洞被发现后,厂商会发补丁,但补丁只有你更新了才有效

几件现在就能做的事:

1. 开启所有设备的自动更新

这是最简单也最有效的防护。手机、电脑、浏览器,全部打开自动更新。不要因为”更新太频繁”就关掉——以后只会更频繁。

2. 别忽略浏览器更新

浏览器是 AI 扫描的重点目标。Firefox、Chrome、Edge 都在被检查的范围内。看到更新提示,立刻更新。

3. 检查你的路由器固件

路由器往往是家庭网络里最容易被忽略的设备。登录管理后台看看有没有固件更新,很多漏洞都是从路由器突破的。

4. 别用过老的软件版本

还在用三年前的 App 版本?更新一下。旧版本的已知漏洞可能已经被 AI 扫出来了,只是你还没更新。

5. 一个小技巧

想快速检查软件是否最新版?直接去软件官网或应用商店查看版本号,比问 AI 更靠谱——AI 可能在版本信息上出错。

养成更新习惯,是最被低估的安全习惯

AI 找漏洞的能力只会越来越强。未来一年,你会看到软件更新频率大幅加快——不是软件变差了,是以前没被发现的问题,现在被 AI 看到了。

别焦虑,但也别躺平。