夜雨聆风2026年4月,Mozilla用Anthropic的Mythos AI在Firefox中发现271个安全漏洞,其中180个被评为最高严重级别,包括一个存在20年的XSLT漏洞。一个月后,OpenAI发布Daybreak平台,基于GPT-5.5-Cyber已帮助修复超过3000个漏洞。AI网络安全军备竞赛正式打响,传统防御模式面临根本性挑战。
图1:OpenAI Daybreak - 为网络防御者打造的前沿AI平台
Anthropic Mythos引爆行业震动
2026年4月7日,Anthropic宣布Claude Mythos Preview和Project Glasswing计划,这个模型被认为"太危险而不能公开发布"。Mythos在每个主要操作系统和浏览器中都发现了数千个高严重性漏洞,有些漏洞存在了二十多年,躲过了人类审计员和传统模糊测试工具的检测。
Mozilla是首批测试Mythos的合作伙伴,结果令人震惊。2026年4月,Mozilla修复了423个Firefox安全漏洞,是2025年月均21.5个的近20倍,其中271个由Mythos发现,180个被评为sec-high最高严重级别,80个为sec-moderate中等级别,11个为sec-low低级别。更令人不安的是,Mythos发现的漏洞"几乎没有误报",包括一个15年历史的HTML <legend>元素缺陷,一个20年历史的XSLT bug涉及可重入key()调用,以及一个通过IPC的竞态条件允许被攻陷的内容进程逃逸沙箱。
英国AI安全研究所(AISI)的评估显示,Mythos Preview在受控环境中能够对脆弱网络执行多阶段攻击,发现并利用真实世界的漏洞,代表了相比之前前沿模型的网络能力"阶跃变化"。Anthropic将Mythos的访问权限限制在AWS、Apple、Microsoft、Linux内核维护者和Mozilla等"有限的关键行业合作伙伴",并启动Project Glasswing协调漏洞披露计划。
图2:Anthropic Project Glasswing - 用前沿AI保护全球最关键软件的计划
OpenAI Daybreak的反击
2026年5月11日,OpenAI发布Daybreak平台,直接对标Anthropic的Project Glasswing。Daybreak结合了OpenAI模型的智能、Codex作为代理框架的可扩展性,以及跨安全飞轮的合作伙伴网络,旨在"从一开始就将网络防御构建到软件中"。
Daybreak基于OpenAI在4月推出的GPT-5.4-Cyber,该模型已帮助修复超过3000个漏洞。OpenAI CEO Sam Altman表示,希望与"尽可能多的公司"合作,帮助他们持续保护软件免受网络威胁。Daybreak使用Codex Security从公司的软件仓库构建可编辑的威胁模型,自动监控高风险漏洞,发现的问题可以在隔离环境中进行调查。
OpenAI提供三种模型配置:GPT-5.5具有标准安全防护,适用于通用用途;GPT-5.5 with Trusted Access for Cyber面向授权环境中的验证防御工作,包括安全代码审查、漏洞分类、恶意软件分析、检测工程和事件响应;GPT-5.5-Cyber用于专门的授权工作流,具有更强的验证和账户级控制。
Axios在5月5日报道,英国AISI的测试显示,OpenAI的GPT-5.5模型(代号"Spud")在发现和利用软件漏洞方面"几乎与Anthropic的Mythos Preview一样出色"。AISI在4月评估Mythos Preview早期快照时发现,它是第一个完成某些网络安全任务的模型,而GPT-5.5在类似评估中表现相当。
AI网络安全的双刃剑
AI驱动的漏洞发现能力正在以指数级速度增长,但这把双刃剑同时赋能了防御者和攻击者。世界经济论坛2026年全球网络安全展望显示,94%的受访者认为AI是2026年网络安全变化的最重要驱动因素,87%的人将AI漏洞标记为增长最快的网络风险。
CNBC在5月8日报道,AI正在加速发现漏洞的速度,但企业仍需要数天或数周来修补它们,这造成了一个不断扩大的缺口,使系统暴露在风险中。传统的"通过隐蔽性保证安全"模式正在崩溃,AI可以在几小时内发现人类审计员需要数月甚至数年才能找到的漏洞。
2026年AI网络安全风险报告指出,AI并没有"轻微放大"现有威胁,而是让基于人类节奏的检测架构在结构上变得过时。自主的、语义层攻击使得传统防御模型"在数学上不足以应对AI原生威胁"。代理AI和LLM驱动的供应链攻击跨越了传统边界,影响时间从几天缩短到几小时,而大多数与AI相关的平均检测和响应时间(MTTD+MTTR)仍以月为单位。
AI安全统计数据显示,AI生成的代码25-40%的时间包含已确认的漏洞,但75%的开发者认为它比人类代码更安全,39%的人在没有审查的情况下接受AI建议。2026年,与AI编码工具采用直接相关的关键发现数量翻了两番,平均每个组织795个,而之前是202个。
对开发者和企业的影响
OpenAI Daybreak和Anthropic Glasswing的推出标志着网络安全进入了一个新时代,开发者和企业需要重新思考安全策略。
对开发者的建议:
将安全代码审查集成到日常开发循环中,使用AI辅助工具在代码提交前发现潜在漏洞。Daybreak支持安全代码审查、威胁建模、补丁验证、依赖风险分析、检测和修复指导,可以让软件从一开始就更具弹性。
不要盲目信任AI生成的代码,39%的开发者在没有审查的情况下接受AI建议,这是一个危险的趋势。所有AI生成的代码都应该经过人工审查和安全测试。
关注依赖项安全,86%的组织在AI驱动的环境中使用具有关键漏洞的第三方包。使用工具自动监控依赖项的已知漏洞,及时更新到安全版本。
对企业的建议:
评估是否需要申请Daybreak或Glasswing的访问权限,这些平台目前仅向经过审查的关键基础设施防御者开放。OpenAI表示公司可以向其请求Daybreak评估,包括漏洞扫描。
缩短补丁周期,AI可以在几小时内发现漏洞,但企业平均需要数天或数周来修补,这个时间差正在成为最大的安全风险。建立快速响应流程,优先修复AI发现的高严重性漏洞。
投资AI安全能力建设,97%的组织现在使用或计划使用AI驱动的网络安全工具,市场规模已增长到224亿美元,预计到2030年将达到1330亿美元。但工具只是一部分,团队需要培训如何有效使用这些工具,理解AI的能力和局限性。
重新评估威胁模型,传统的威胁建模假设攻击者需要大量时间和资源来发现漏洞,但AI改变了这个等式。企业需要假设攻击者也拥有类似的AI能力,相应地调整防御策略。
网络安全的未来
OpenAI和Anthropic的竞争只是开始,更多AI实验室和网络安全公司将推出类似的工具。这场军备竞赛的结果将重塑整个网络安全行业。
短期内,我们将看到漏洞发现和修复速度的显著提升。Mozilla在一个月内修复的漏洞数量是过去一年月均的20倍,这种加速将成为新常态。软件供应商将面临更大的压力,需要更快地响应安全问题。
中期来看,AI将从被动的漏洞扫描工具演变为主动的安全架构师。Daybreak已经可以从代码仓库构建威胁模型,未来的AI将能够在设计阶段就提出安全建议,甚至自动生成安全代码。
长期而言,网络安全可能会从"猫捉老鼠"的游戏转变为"AI对AI"的对抗。防御者使用AI发现和修复漏洞,攻击者使用AI寻找和利用漏洞,双方都在不断升级自己的AI能力。这将需要新的监管框架、国际合作和伦理准则。
英国AISI和美国网络司令部已经开始测试这些前沿模型,评估它们的能力和风险。网络司令部首席AI官告诉Axios,他们打算测试和部署"尽可能强大的AI模型,无论政治立场甚至原产国"。这表明政府也认识到在AI网络安全竞赛中保持领先的重要性。
OpenAI表示正在与行业和政府合作伙伴合作,为未来部署更强大的网络能力模型做准备。Anthropic也在扩大Project Glasswing的合作伙伴网络。这些努力能否在攻击者之前发现和修复漏洞,将决定未来几年的网络安全态势。
2026年可能会被历史记住为"网络安全最后的正常一周"之前的转折点。AI已经改变了游戏规则,现在的问题不是是否使用AI进行网络安全,而是如何负责任地使用它,确保防御者始终领先攻击者一步。
⚠️ 本文由 AI 辅助生成,内容可能存在事实性错误或理解偏差,请读者注意甄别核实。
AI网络安全工具会让传统安全工程师失业吗?还是会创造新的职业机会?你认为企业应该优先投资AI防御工具还是人才培养?
如果这篇文章帮你了解了AI网络安全的最新进展和对行业的影响,点个赞👍和推荐❤️让更多人知道。
转发给做网络安全和软件开发的朋友,这个趋势值得关注。
数据来源:
MacRumors: OpenAI's New Daybreak Platform[1] The Hacker News: OpenAI Launches Daybreak[2] Anthropic: Project Glasswing[3] Mozilla: AI Security Zero-Day Vulnerabilities[4] Ars Technica: Mozilla Says 271 Vulnerabilities Found by Mythos[5] AISI: Our Evaluation of Claude Mythos Preview[6] AISI: Our Evaluation of OpenAI's GPT-5.5[7] Axios: OpenAI Isn't Far Behind Mythos[8] CNBC: Experts Warn Cyber Threat Was Already Here[9] Cyber Strategy Institute: 2026 AI Cybersecurity Risks[10] AppSec Santa: AI Security Statistics 2026[11]
题图来源:OpenAI
引用链接
[1]MacRumors: OpenAI's New Daybreak Platform: https://www.macrumors.com/2026/05/11/openai-launches-daybreak/
[2]The Hacker News: OpenAI Launches Daybreak: https://thehackernews.com/2026/05/openai-launches-daybreak-for-ai-powered.html
[3]Anthropic: Project Glasswing: https://www.anthropic.com/project/glasswing
[4]Mozilla: AI Security Zero-Day Vulnerabilities: https://blog.mozilla.org/en/firefox/ai-security-zero-day-vulnerabilities/
[5]Ars Technica: Mozilla Says 271 Vulnerabilities Found by Mythos: https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/
[6]AISI: Our Evaluation of Claude Mythos Preview: https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
[7]AISI: Our Evaluation of OpenAI's GPT-5.5: https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities
[8]Axios: OpenAI Isn't Far Behind Mythos: https://www.axios.com/2026/05/05/openai-anthropic-mythos-cyber-testing
[9]CNBC: Experts Warn Cyber Threat Was Already Here: https://www.cnbc.com/2026/05/08/anthropic-mythos-ai-cybersecurity-banks.html
[10]Cyber Strategy Institute: 2026 AI Cybersecurity Risks: https://cyberstrategyinstitute.com/2026-ai-cybersecurity-risks/
[11]AppSec Santa: AI Security Statistics 2026: https://appsecsanta.com/research/ai-security-statistics
