夜雨聆风2026年5月22日,Anthropic发布了Project Glasswing项目的首份进展报告。一个月前,他们用未发布的Claude Mythos Preview模型,与50家合作伙伴一起对全球最核心的软件系统进行了安全扫描。
结果远超预期——也远超行业的安全修复能力。
Mythos Preview在短短一个月内发现了超过10000个高危或严重级别的安全漏洞。Cloudflare找到了2000个漏洞 其中400个为高危/严重 ,Mozilla用Mythos发现了271个Firefox漏洞——是此前用Claude Opus 4.6扫描时的10倍。
但这篇文章想讨论的不是Mythos有多强大,而是一个正在迫近的棘手问题。
发现速度已经超过了修复速度
Anthropic自己在报告中承认:"软件安全领域的进展过去受限于我们找到新漏洞的速度。现在这个限制变成了——我们验证、披露和修补大量由AI发现的漏洞的速度。"
翻译成大白话就是:AI找漏洞太快了,人类修不过来。
Anthropic用Mythos扫描了1000多个开源项目,在23019个总发现中,6202个被评为高危或严重。独立安全公司验证了其中1752个高危发现,90.6%被确认为真阳性——这意味着AI的误报率极低。
按这个比例推算,仅这一轮扫描,Mythos就在开源代码中找到了约3900个经过验证的高危漏洞。
这是一个好消息,也是一个坏消息。
好的方面:AI能在大规模攻击者利用这些漏洞之前发现它们。Palo Alto Networks的补丁数量翻了5倍,Microsoft也承认补丁量"会持续增长一段时间"——整个行业的安全水位在快速上升。
坏的方面:同样的能力,如果被攻击者掌握,后果不堪设想。Anthropic承认"没有任何公司——包括我们自己——开发了足够强大的防护措施来防止这类模型被滥用"。
Mythos还没有公开发布,但GPT-5.5已经了
Anthropic至今没有公开发布Mythos类的模型。但OpenAI的GPT-5.5已经在多项网络安全评测中达到了与Mythos接近的水平。英国的AI安全研究所 AISI 测试后表示,GPT-5.5和Mythos都成功完成了所有模拟网络攻击任务。
OpenAI甚至推出了专门的GPT-5.5-Cyber版本,已经提供给美国政府部门和一些企业使用,并计划向日本等盟国开放。
这意味着,能用来找漏洞的AI能力已经不再被Anthropic一家掌握。当能力扩散到更多玩家手中,安全攻防的游戏规则将被彻底重写。
新的安全悖论
Mythos和Project Glasswing揭示了一个前所未有的安全悖论:
AI能以前所未有的速度发现漏洞——这是一把双刃剑 发现速度超过修复速度——意味着"已知但未修复"的漏洞池在快速扩大 能力正在扩散——今天只有Anthropic有Mythos,明天可能任何国家级攻击者都能获得类似能力 防御者的窗口期在缩短——从漏洞发现到被利用的时间差在急剧压缩
一个判断:未来一到两年,网络安全领域会发生一次结构性转变。过去安全行业的竞争是"谁发现的漏洞多",未来将变成"谁修复得快"。修复速度——而不是发现能力——将成为新的核心竞争力。
对普通用户的影响
第一,你用的软件会越来越频繁地提示更新。Microsoft说补丁量会"持续增长",这意味着未来你的电脑和手机每个月可能要打比现在多几倍的补丁。这不是软件变差了,而是安全变好了。
第二,零日漏洞的价值在下降,但攻击窗口在缩小。以前一个零日漏洞可以藏好几个月。现在AI可能在几天内就发现同样的漏洞。对防御者是好消息,但攻击者也会利用同样的工具加速攻击。
第三,多因素认证比任何时候都重要。当AI能更快地找到软件漏洞时,个人层面的安全防护 强密码、MFA、及时更新 就成了最后一道防线。
Anthropic说了一句话值得深思:"类似Mythos能力的模型很快就会由多家AI公司开发。"当AI安全能力的扩散不可避免,我们能做的不是在能力上设限,而是在修复速度上竞赛。这个转变已经在发生了。
