夜雨聆风
Anthropic Mythos 引发华尔街警报
2026-04-10,CBS News 报道称,美联储主席 Jerome Powell、美国财政部长 Scott Bessent 已与多家华尔街大行 CEO 进行闭门会谈,讨论 Anthropic 最新模型 Mythos 带来的网络安全风险。仅这一条消息,就足够让整个金融圈后背发凉。
原因很简单:这已经不是“AI 会不会写代码”的问题了,而是前沿模型已经开始系统性地发现和串联关键软件漏洞,金融监管层担心它会不会把银行系统的攻击面瞬间放大。
更刺激的是,Anthropic 自己同步公开的信息显示,Mythos Preview 已经找到:
OpenBSD 上一个存在了 27 年的漏洞 FFmpeg 上一个存在了 16 年的漏洞 Linux 内核里可从普通用户提权到整机控制的一组漏洞链
当财政部长、美联储和银行 CEO 因为一个模型而开会,这事的含义就已经不再是“技术圈新闻”,而是系统性金融安全问题了。
Project Glasswing 官方主视觉
一、为什么这场闭门会让华尔街紧张:因为 Mythos 盯上的不是边角系统,而是所有人都离不开的底层软件
根据 CBS News 报道,这场会议的核心议题是 Anthropic 新模型 Mythos 可能带来的网络安全风险。报道还提到,这次闭门会此前由 Bloomberg 先披露,地点在美国财政部华盛顿总部,JPMorgan Chase CEO Jamie Dimon 也被邀请,只是最终未能出席。
这意味着担心这件事的,不只是安全研究员,而是已经上升到:
财政部 美联储 顶级商业银行管理层
为什么他们会如此紧张?
因为从 Anthropic 官方 Project Glasswing 页面和 Frontier Red Team 技术披露来看,Mythos Preview 命中的不是某些冷门项目,而是会直接牵动全球金融、能源、通信和政企系统的底层软件。
Mythos 公开披露的能力信号 | 为什么足以惊动华尔街 |
|---|---|
在所有主流操作系统和所有主流浏览器中发现高危漏洞 | 银行日常依赖的大量终端和基础设施都在攻击面内 |
找到 27 年前遗留在 OpenBSD 的漏洞 | 说明“老而硬”的系统也不再天然安全 |
在 FFmpeg 中找到 16 年老漏洞 | 说明大量被反复调用、测试过千万次的组件仍可被模型挖穿 |
链接 Linux 内核多漏洞完成提权 | 说明模型开始具备真正接近进攻链的能力,而非只会报 bug |
一句话总结:华尔街害怕的不是 AI 很聪明,而是它开始大规模降低高阶攻击的门槛。
二、最恐怖的细节不在“会找漏洞”,而在“非安全专家也能让它一夜跑出可用 exploit”
Anthropic 在 Mythos Preview 技术文章里写得很克制,但读懂之后其实非常吓人。
他们明确说:
Mythos Preview 能识别并利用所有主流操作系统、主流浏览器中的零日漏洞 很多漏洞非常隐蔽,已经存在十年甚至二十多年 这类 exploit 不是简单的栈溢出练手题,而是能跨越浏览器和系统沙箱的多漏洞链 Anthropic 内部没有正式安全训练背景的工程师,也能让模型“过夜跑出完整可用 exploit”
这意味着什么?
过去,真正危险的高阶漏洞发现和利用,需要极少数顶级安全研究员才能完成。而现在,这种能力正在被前沿模型压缩成“会不会下对 prompt、会不会搭 agent scaffold”的差距。
这就是这场会议让金融监管者必须提前介入的根本原因。因为一旦类似能力广泛扩散,银行面对的就不再只是“黑客更努力了”,而是“高等级攻击技能被压缩成更低成本、更高并发、更可自动化的过程”。
三、为什么 Anthropic 没直接放模型,而是立刻拉起 Project Glasswing
CBS News 报道里有个关键信号:Anthropic 明确表示,不会广泛开放 Mythos,而是先把它放进一个防守导向的项目里用。
这个项目就是 Project Glasswing。
Anthropic 官方页面给出的逻辑非常清楚:
模型能力已经跨过阈值,足以重塑网络安全格局。 类似能力很快会扩散,迟早不只掌握在“负责任的参与者”手里。 所以必须先把这种能力优先交给防守方,用来补关键软件的洞。
Glasswing 当前公开的合作阵容非常豪华,包括:
Amazon Apple Cisco Cloudflare Google Microsoft Nvidia Palo Alto Networks JPMorgan Chase
这不是普通 PR 名单。它本质上说明一件事:
金融、云、终端、安全厂商已经默认“前沿 AI 具备改变攻防平衡的能力”,所以必须提前联合防守。
四、27 年老漏洞为什么会把监管层吓到开会:因为这意味着“沉睡攻击面”会被 AI 批量叫醒
在官方披露里,最容易传播的是那个 27-year-old vulnerability。
Mythos Preview 找到的是 OpenBSD 上一个已经存在 27 年的漏洞。OpenBSD 一直以安全硬核著称,还常被用于防火墙和关键基础设施环境。这类系统之所以可怕,不是因为它“经常出事”,而是因为大家默认它足够难搞。
现在 AI 连这种系统都能挖出陈年漏洞,这带来的冲击不是单点 bug,而是整个行业对“老系统还能扛多久”的认知要被重写。
更麻烦的是,金融系统天然依赖大量:
历史悠久的操作系统和中间件 复杂难迁移的底层基础设施 外包、并购、长期演进积累下来的技术债
这些环境本来就存在大量“没被发现不代表不存在”的沉睡攻击面。而前沿模型的出现,正在把“发现成本”大幅打下来。
这才是系统性风险真正吓人的地方:它不一定意味着银行今天就会被打穿,但意味着未来寻找并武器化脆弱点的速度,可能比金融机构修补底盘的速度更快。
五、这场会议真正说明的是:AI 安全议题已经从内容治理,正式升级为金融稳定问题
过去两年,AI 监管更多围绕这几类问题打转:
幻觉 深伪 版权 偏见 模型越狱
但 Mythos 这次把焦点直接换了赛道。现在监管层面对的是更硬的一类问题:
如果前沿模型能大幅降低漏洞发现和 exploit 生成门槛,那么这会不会成为金融稳定、关键基础设施和国家安全层面的新型加速器?
CBS News 还引述财政部发言人的表态,说政府正在推动金融机构为新的安全威胁做准备,而且后续还会持续组织更多协调会议。
这说明华盛顿现在的判断已经不是“看看情况”,而是:
先把监管、金融机构、技术方拉到一张桌子上 提前做准备 不能等类似能力全面扩散后再补课
从行业信号看,这种级别的会议本身就已经足够说明,AI 网络攻防正在从实验室能力,变成监管必须正视的现实问题。
六、我的判断:AI 是双刃剑,而且这次“刀锋变快”的速度比行业准备速度更快
如果只看乐观面,Glasswing 当然是好消息。因为同样的能力也能用来:
提前发现零日 帮开源维护者补洞 强化企业安全审计 提升安全团队效率
但如果只停留在乐观叙事,就会低估另一半现实:
模型能力一旦跨过阈值,进攻端迟早会复制同等级能力。
Anthropic 自己其实也承认了这一点,所以才没有广泛开放 Mythos,而是把它先锁进防守协作网络。这恰恰说明他们知道,这不是普通的模型升级,而是一次足以改变攻防节奏的能力跳变。
所以我的判断是:
Project Glasswing 是必要的 但它绝不是终点 接下来几年,真正决定胜负的不是谁先造出更强模型,而是谁先把强模型纳入持续、可协同、可验证的防守工作流
如果金融、能源、云厂商和开源生态跟不上这种升级速度,那么模型越强,系统性压力只会越大。
七、这件事对普通公司意味着什么:别再把 AI 安全当成“研究新闻”,该提前补的课已经摆在眼前
哪怕你不是银行,也不做国家关键基础设施,这条新闻仍然有很强的现实意义。
因为 Mythos 释放出的信号至少有四个:
老系统里的陈年漏洞,未来会被更快、更低成本地翻出来。 安全团队和开发团队之间的修复窗口会继续缩短。 企业不能再只盯模型输出风险,还要把模型带来的攻防不对称算进去。 “防守优先”会成为前沿模型部署的新准则,而不是可选项。
对企业而言,现在最不该做的事就是继续觉得:
“这离我还远。”
如果财政部、美联储和顶级银行都已经开始为这件事开会了,那说明窗口期已经不是“以后再看”,而是“现在就得准备”。
原文链接
CBS News:https://www.cbsnews.com/news/mythos-anthropic-ai-cybersecurity-risks-powell-bessent/ Anthropic Project Glasswing:https://www.anthropic.com/glasswing Anthropic Frontier Red Team 技术细节:https://red.anthropic.com/2026/mythos-preview/
