夜雨聆风导语:当AI不仅能“读懂”代码,还能自主策划并执行系统攻坚战,网络安全的攻防天平将彻底倾斜。近日,Anthropic毫无征兆地掷出一枚重磅炸弹——这款新模型不仅能找漏洞,甚至能自己写出攻击代码!
为防止这一“神兵利器”被恶意滥用,Anthropic同步启动了**“Glasswing项目(透翅蝶计划)”**,联合全球顶尖的行业巨头,抢在危机爆发前为关键基础设施披上铠甲。一起来看看这场震撼安全界的“技术海啸”有哪些核心亮点:
🚀 01 | 史诗级跃迁:从“纸上谈兵”到“降维打击”
如果你对今年2月发布的Opus 4.6还记忆犹新,那么Claude Mythos预览版绝对是一次质的飞跃。
过去的旧模型(哪怕是Opus 4.6这样的顶尖选手)通常只能做到“指认”漏洞,却很难将其转化为切实有效的攻击载荷。但在近期的开源软件内部高压测试中,Claude Mythos一举拿下了10个已打满补丁的测试目标,实现了完整的控制流劫持!
更令人震撼的是,Anthropic并没有在底层代码里手把手教它怎么当黑客。这种高级别的实战攻击能力,完全是模型在逻辑推理、自主编码能力全面升维后,自然“涌现”出的黑魔法。
🕷️ 02 | 细思极恐:全自动漏洞利用(Exploit)生成
现代操作系统的防御有多森严?沙箱隔离、内核地址空间布局随机化(KASLR)……但在Mythos面前,这些防线正在被轻易穿透。
它能够像一位经验丰富的高级黑客一样,自主将多个看似不起眼的软件缺陷串联起来,构建出极其复杂的攻击链。在实测中,Mythos成功编写出了一套网页浏览器漏洞利用程序,不仅无视了严格的沙箱环境,还强行突破了KASLR防护,最终拿到了系统的最高提权权限。
因为它的自动化程度极高,这也意味着一个令人冷汗直流的现实:哪怕是一个毫无网安基础的门外汉,通过自然语言交互,也可能在一夜之间生成极具杀伤力的远程代码执行(RCE)武器。
🕰️ 03 | 历史的清算:揪出潜伏数十年的“幽灵代码”
当这位“AI探长”被放入真实的软件生态圈时,它直接撕开了人类安全专家们数十年都没发现的隐秘创口:
OpenBSD(潜伏27年): 以“变态级”严格安全标准著称的OpenBSD系统,被Mythos挖出了一个深藏27年的内存破坏漏洞。其根源竟是网络传输控制协议(TCP)中极其复杂的有符号整数溢出问题。
FFmpeg(潜伏16年): 经历过无数次人类严苛代码审计的FFmpeg媒体库,被揪出了一个长达16年的底层缺陷,原因是视频帧解码时的整数大小与内存初始化不匹配。
无数自动化测试工具扫描过百万次都未曾察觉的死角,就这样被它轻描淡写地挑破。
🛡️ 04 | 铸剑为犁:Glasswing联盟构筑终极防线
能力越强,反噬的风险就越大。为了挖掘上述漏洞,AI全程在完全隔离的测试环境中独立完成了源码分析、假设验证、乃至编写PoC(概念验证)攻击代码的全闭环。
Anthropic官方也非常坦诚地承认:如果将如此强大的漏洞发现工具公之于众,短期内绝对会让恶意黑客获得极度危险的非对称优势。
因此,Anthropic拉起了**“Glasswing项目”**的安全大旗。在初期,Claude Mythos预览版的访问权限被严格锁死,仅定向开放给受信任的防御方。目标只有一个:在那些致命的0Day漏洞被黑客在野外利用之前,用AI的速度抢先打上补丁。
💡 结语:矛与盾的AI新纪元
安全专家普遍断言,虽然短期内这像是一个危险的潘多拉魔盒,但随着整个行业的快速适应,Claude Mythos这类前沿AI模型终将成为人类不可或缺的“最强数字护盾”,大幅提升全球软件生态的整体安全性。
旧时代的防火墙正在褪色,AI驱动的自动化攻防战,才刚刚打响。
