夜雨聆风Claude Mythos发现数千零日漏洞,AI漏洞利用时间从2.3年缩短到不到1天。安全专家会被AI替代吗?普通人该怎么办?企业安全策略该怎么升级?
昨晚发了一条关于Claude Mythos的快讯,评论区炸了。
有人问:"这到底是真的吗?是不是Anthropic在营销?"
有人问:"我公司的安全团队,是不是要失业了?"
还有人问:"有没有什么办法能防住?"
好,今天这条深度分析,把这三个问题一次说完。
Claude Mythos不是第一个,但它是"质变级"的
很多人以为AI发现漏洞是Claude Mythos开创的,其实不是。
真正的起点要追溯到2025年8月,DARPA(美国国防高级研究计划局)办了一场AI网络挑战赛。参赛的AI系统在4小时内分析了5400万行代码,发现了54个漏洞。
2025年11月,Anthropic披露了一个更让人不安的消息:中国国家级黑客组织已经在使用AI自动化运行完整攻击链——从侦察到数据窃取,全程无需人工干预。
2026年2月,Claude Opus 4.6(当时最强的公开模型)在开源软件中发现了500多个高危漏洞。
所以到Claude Mythos发布时,AI发现漏洞已经不是"能不能"的问题,而是"有多快、多深、多自动"的问题。
Claude Mythos的质变在于三个维度:
| 83.1% | |||
| 181个 | 90倍 | ||
| 93.9% | |||
| 完全自主 |
说白了,上一代AI需要人类专家"教"它怎么攻击,Mythos可以自己完成整个链条。这是从"工具"到"agent"的跨越。
最可怕的不是AI会黑,而是"漏洞利用窗口"消失了
上一篇快讯里提过一个数据:零日漏洞利用时间从2.3年缩短到不到1天。今天把这个数据展开讲,因为它才是最核心的威胁。
| 2.3年 | |
| 不到1天 |
这个时间差,在过去一直是防御方的"护城河"。逻辑是这样的:安全研究员发现漏洞→报告给厂商→厂商开发补丁→用户安装补丁。整个过程即使慢,攻击者也不知道这个漏洞的存在,所以有时间差。
但AI改变了这个游戏规则。当AI能自主发现漏洞并自动生成利用代码时,"发现"和"利用"变成了同一个动作。没有报告环节,没有补丁开发环节,没有等待安装环节。
从防御方的视角看:你的补丁还没开发,攻击已经完成了。
Linux内核的报告量更能说明问题:从每周2个漏洞报告,激增到每周10个。不是漏洞变多了,是AI能发现以前发现不了的漏洞了。
Anthropic为什么不敢公开发布?
Anthropic做了两件非同寻常的事:
第一件:不公开发布Mythos。这是Anthropic第一次因为"太危险"而不发布模型。
第二件:砸了1.04亿美元搞Project Glasswing(玻璃翼计划)。联合了50多家顶级机构——AWS、苹果、谷歌、微软、英伟达、摩根大通、CrowdStrike、Palo Alto Networks——用AI找漏洞、修漏洞。
这两个动作合在一起,传递了一个信号:AI安全能力已经强到必须"先防御、再开放"的程度。
Anthropic的CEO Dario Amodei在公开信里说得很直白:"危险在于漏洞数量的大幅增加,以及对学校、医院、银行造成的勒索软件损失。"
具体来说,Anthropic担心的有三个场景:
1. 国家级攻击者:如果敌对国家获得了类似Mythos的能力,可以同时对一个国家的关键基础设施发起数千次零日攻击,传统防御根本挡不住。
2. 犯罪组织:勒索软件攻击将从"偶尔发生"变成"每天发生",因为成本和门槛都降到了极低。
3. AI扩散:今天只有Anthropic有Mythos,但OpenAI已经有了GPT-5.5-Cyber,其他公司也在跟进。这些能力会扩散,这是必然趋势。
Project Glasswing的应对方案也很有意思——它不是"藏着不用",而是"抢先用于防御"。逻辑是:既然这些能力迟早会被更多人掌握,那不如现在就让防御方先用起来,建立"AI防御、人类掌舵"的体系。
| 1亿美元 | |
| 250万美元 | |
| 150万美元 |
定价方面,Mythos通过API访问的价格是Opus 4.6的5倍:输入$25/百万token,输出$125/百万token。贵,但不是用不起。重点是资格审核,只给"好人"用。
普通人该怎么办?安全行业的人怎么办?
先说结论:安全行业不会消亡,但安全专家的角色会彻底改变。
过去安全专家的核心价值是"找漏洞"——这个能力AI已经碾压了。但安全还有两个AI做不了的事:
第一,安全架构设计。AI能找到已有系统里的漏洞,但设计一个"从架构上就安全"的系统,需要人的判断力和创造力。
第二,安全策略制定。AI能发现1万个漏洞,但企业不可能全修。修哪个?先修哪个?修到什么程度?这些是人的决策。
所以如果你在安全行业,转型方向很清楚:
如果你不在安全行业,这件事和你有什么关系?三件事:
1. 密码管理习惯需要升级。AI发现的漏洞很多涉及浏览器和操作系统,这意味着你常用的软件随时可能被攻破。用密码管理器、开两步验证,不再是"建议",而是"必须"。
2. 公司IT安全投入需要加码。如果你所在的公司还在用"一年做一次渗透测试"的安全策略,赶紧升级。漏洞利用窗口已经从2.3年变成不到1天了,一年一次的测试等于没有测试。
3. AI安全会成为新的职业方向。未来最吃香的不是传统安全专家,而是"懂AI的安全人"或者"懂安全的AI人"。Anthropic砸了1亿美元做Project Glasswing,OpenAI推了GPT-5.5-Cyber,这些都需要人来驾驭。
一场没有赢家的军备竞赛已经开始
最后说一个更宏观的视角。
Claude Mythos发布后,各方的反应很有意思:Anthropic说"太危险了不发布",但同时在招兵买马搞防御联盟;OpenAI几周后就推出了GPT-5.5-Cyber,公开对标;geohot说"别炒作了",但他自己的公司也在做AI安全;各国政府开始讨论AI武器化的监管框架。
这是一个典型的"囚徒困境":
如果只有Anthropic有Mythos,攻击者没有→防御方有优势。如果攻击者也有类似能力→攻防回到平衡,但双方都更有破坏力。如果所有人都有→回到了"核武器"的逻辑——互相保证毁灭。
欧盟AI Act将在2026年8月生效,其中对高风险AI系统的安全要求会直接适用于这类网络安全AI。美国方面,财政部和美联储已经开始行动。
但说实话,AI安全最大的问题不是技术,而是速度。AI能力增长的速度,远远超过了监管、行业标准和人类认知的更新速度。
网络安全这行有一句老话:"攻击者只需成功一次,防御者必须次次成功。"AI把这个不等式变得更残忍了:攻击者现在有AI帮忙找漏洞了,而防御者还在靠人力修漏洞。
这场仗,不好打。但不用AI的防御者,一定打不赢。
接下来怎么看?
Claude Mythos这件事,我的判断是三个"一定会":
- AI漏洞发现能力一定会继续指数级增长
- 防御方全面拥抱AI安全工具一定会成为行业标准
- AI安全人才一定会成为未来5年最抢手的职业方向之一
如果你是安全从业者,现在就开始学AI安全工具,不是选做题,是必答题。如果你是企业主,把IT安全预算加上一倍,不是浪费,是保险。如果你是普通人,把密码管理器和两步验证开起来,今天就用。
AI找漏洞比人类快1000倍的时代已经来了,你是要被碾压,还是要学会驾驭?
评论区聊聊:你所在的公司,安全团队跟上AI时代了吗?
