2026 年 6 月 22 日,一个二战后成立、保密了将近八十年的情报联盟,发了一份措辞罕见的公开声明。
签署人是美国 NSA 、 CISA ,英国 NCSC ,澳大利亚 ASD ,加拿大 CCCS ,新西兰 NCSC——也就是五眼联盟的全部网络安全分支。声明的标题翻译过来是《 AI 在网络风险中的转变:领导者必须立即行动》。诊断只有一句话:
前沿 AI 模型即将根本性改变网络攻防能力,时间窗口不是数年,而是数月。

这是个反常的事件。五眼这个联盟从 1946 年成立至今,绝大部分时间连存在本身都是机密——成员国国会议员都未必知情,直到 2010 年部分文件才解密。它的工作方式从来都是"暗中观察、内部共享",公开发声明对它来说是反常态的。整个冷战期间,几乎没有以"五眼"集体名义发布的公开声明。
这次为什么破例?为什么是 2026 年 6 月?为什么用"几个月"这种媒体友好但情报机构最避讳的精确措辞?
要回答这些问题,得把镜头拉远,看看过去十八个月里发生了什么。
一个为窃听而生的联盟,开始管 AI 了
五眼的基因是信号情报( SIGINT )。 1946 年英美签署《 BRUSA 协定》,后来加拿大、澳大利亚、新西兰陆续加入,构成了今天这个网络。它擅长的是窃听、信号截获、密码破译,工作逻辑是"对手会犯错、信号会泄露、我们能捕捉"。
这种保守姿态在过去几年被一点点撬开。
2020 年起,五眼的网络安全分支(注意,是网络安全分支,不是间谍主体)开始联合发布技术性公告。哪些漏洞正在被利用、哪些 Ivanti 产品有风险、哪些供应链厂商被植入后门——都是技术圈的"内行人警告",普通人看不懂,企业 CISO 当作日常 threat advisory 归档。
2023 年 10 月 17 日是第一个分水岭。五眼的情报首长——CIA 、 MI6 、 ASIS 、 CSIS 、 NZSIS 的局长们——在加州硅谷召开史上首次公开联合活动,公开点名指责中国"窃取知识产权、用 AI 辅助黑客活动和间谍行为"。这是五眼第一次把"AI"这个词放进公开声明里。
但当时的措辞还算克制。大意是"中国正在用 AI 增强既有的攻击手段"——AI 是 attacker 的放大器,不是替代者。
2026 年 6 月 22 日的这次,质变发生了。声明里有一句话特别值得停下来读:
网络风险假设可能在数月内、而非数年内变得过时。

翻译一下,就是过去 CISO 们习惯的"三年规划周期"在 AI 驱动的攻击面前已经不再有效——你今年 6 月做的威胁建模,到年底可能就已经是过期的。 AI 不再是放大器, AI 本身就是新的攻击主体。
三条曲线在 2026 年中相交
如果一个人只看新闻标题,会觉得五眼这次警告很突然——前几个月业内还在讨论 AI 能不能写代码、能不能做合规审查,怎么突然就"几个月内具备颠覆性攻击能力"了。
但如果把镜头拉近,三条曲线在过去十八个月里同时变陡,最终在 2026 年中相交。
第一条是能力曲线。 METR 、 Lyptus Research 、 Anthropic Frontier Red Team 等多家独立机构的评测都指向同一个结论——AI 在网络攻击任务上的"任务时长视野"( task length horizon ,模型能稳定完成多长时间的任务)正在指数级增长。 Sean Peters 在 2025 年 7 月给出每 5 个月翻一番; Anthropic 在 2025 年 9 月校准为"过去六个月翻倍";到 2026 年 5 月, CyberScoop 的报道直接说"AI 已经打破了所有自主网络能力的基准"。
换算一下:如果 2024 年初前沿模型只能稳定完成约 6 分钟长度的攻击任务,到 2026 年中已经能稳定执行小时级、甚至天级的多步骤任务链。

第二条是滥用曲线。 2025 年 9 月中旬, Anthropic 检测到一起后来被它定性为"首次有记录的、绝大部分由 AI 自主执行的大规模网络攻击"。一个被 Anthropic 以"高置信度"评估为中国国家支持的威胁组织,越狱了 Claude Code ,让模型在大约 30 个全球目标——大型科技公司、金融机构、化工企业、政府机构——上自动执行渗透。人类操作者只在关键节点做 review ,剩下的 80-90%由 AI 完成。
这不再是"AI 辅助黑客",这是"AI 是黑客"。
第三条是扩散曲线。开源模型的能力一直在追赶闭源前沿,时间差大约是 6 到 8 个月。中国的 DeepSeek V3 、 V4 以及通义 Qwen 3.7 Max 在 2025 到 2026 年间迅速逼近 GPT-5 和 Claude Mythos 的水平。 War on the Rocks 在 2026 年 4 月给出的数据是,到 2025 年底中国模型已经占据全球 AI 工作负载的 30%——一年前这个数字还是 1%。
也就是说,即便美国能限制 Fable 5 和 Mythos 5 的出口,攻击者也可以在几个月后用一个能力相当的开源中国模型完成同样的事。
三条曲线一旦相交,五眼联盟内部的风险评估就从"未来需要关注"变成"已经在这个季度发生"。
引爆点: Fable 5 风波,警告前的两周
如果要找一个直接的导火索,那就是 2026 年 6 月 12 日那个 Friday 。
那天下午 5:21 (美东时间), Anthropic 收到美国商务部一封出口管制指令信,命令立即对所有外国国民——包括 Anthropic 自己的外籍员工——切断对 Fable 5 和 Mythos 5 的访问。理由是国家安全考量,但具体细节没说。
Anthropic 当晚被迫做了一个商业上极其痛苦的决定:对全球所有用户停服 Fable 5 和 Mythos 5。其他 Claude 模型不受影响,但这两款是它 2026 年最重要的旗舰产品。
幕后的故事更戏剧。根据 WIRED 和 POLITICO 的报道还原,事件的"24 小时漩涡"是这样的:

Anthropic 的立场是"白宫反应过度"。它在 6 月 12 日的公开声明里给出了非常硬的措辞:
我们已经审查了我们认为是政府指令依据的报告,并验证了其中所展示的能力水平在其他模型(包括 OpenAI 的 GPT-5.5 )上同样广泛可用,每天都被守护系统的防御方使用。
潜台词是:你们看到的"漏洞",跟其他几乎所有前沿模型都有;以这个标准要求停服,整个行业都会陷入瘫痪。
但白宫坚持。
到了 6 月 22 日,五眼联盟的联合声明发布。从时间序列看,这不是巧合。Fable 5 风波让五眼的情报机构内部彻底统一了认识——前沿 AI 的攻击能力和守护机制之间的差距,已经不是任何单家公司可以独立维持的护栏问题,而是一个系统性的国家安全问题。
签署声明后 24 小时内,美国众议院国土安全委员会主席 Andrew Garbarino 发表评论,强化了地缘政治层面的解读:"这个警告反映了委员会反复听到的内容——中国距离达到与美国相当的前沿 AI 能力只有几个月,甚至几周。"
这句话把五眼警告从"AI vs 守护方"的二元叙事,重新拉回到熟悉的"中美 AI 竞争"框架里。
警告共识,行动分化
把镜头拉到当下的整体格局,会发现一个"警告共识、行动分化"的局面。
警告层面,五眼+Anthropic+学术评测机构( METR 、 Lyptus 、 IAPS )+部分立法者已经形成共识——AI 正在快速改变网络攻防力量对比。
但行动层面,分裂成至少四条互不统一的路线。
第一条是出口管制路线,白宫和商务部的选择。 Fable 5 风波是这条路线的样板。逻辑简单粗暴:宁可矫枉过正,也要避免 Mythos 级模型流到对手手里。它的核心矛盾是——是要"主权 AI (让美国继续保持模型领先)"还是"安全 AI (防止能力扩散)"——这两个目标在 Fable 5 事件上正面碰撞。
第二条是自愿防御部署路线, Anthropic 的 Project Glasswing 和 OpenAI 的 Daybreak Cyber Partner Program 。 Anthropic 声称 Claude 在一个月内找到了 10000 个关键软件缺陷。 OpenAI 拉来了 IBM 、 Darktrace 、 SpecterOps 、 TrendMicro 组建生态。这条路的逻辑是用矛攻矛——既然攻击方会用 AI ,那防御方先用、内部用、找完再补。
第三条是基础卫生路线,五眼声明的处方部分。说白了就是把网络安全圈喊了二十年的常识重新喊一遍:重新评估哪些系统真的需要联网、移除不必要的暴露面、限制对关键系统的访问、建立事件响应剧本。
第四条是商业产品路线, Cloudflare 、 Darktrace 、 Rubrik 、 CrowdStrike 这些做安全产品的公司。每一次新的威胁叙事都是一次销售周期。注意,我们没有说他们一定在借机营销,只是陈述一个客观存在的商业现象。

这四条路线没有统一的指挥中心,互相之间还存在张力。出口管制可能伤害自愿部署(防御方能用的 Mythos 工具被拦下,反而拖累了响应速度);商业产品可能挤压基础卫生的预算;自愿防御部署的产品又可能被未来更强的开源模型直接替代。
大家都同意有问题,但没人知道哪条路是最优解,所以四条路在并行试错。
CISO 们到底在面对什么
把宏观对比放到一边,从一线 CISO 的视角看,这次警告其实落到了几个非常具体的痛点上。
痛点一:补丁窗口正在消失。过去 CISO 们习惯的节奏是——CVE 公布、厂商发补丁、企业在 30 到 90 天内打上。 AI 让漏洞从公布到被武器化的时间从"周"压缩到"小时"甚至"分钟"。 Project Glasswing 让 Claude 一个月找出 10000 个关键缺陷的同一能力,反过来也意味着攻击者可以一个月找出 10000 个等待被打的目标。
痛点二:身份和访问控制是新前线。 Claude Code 攻击案例展示了一个新模式——AI 不是从外面打进来的,而是被授权的合法 agent 。它有合法 token 、合法会话、合法 API 访问。传统的"边界防御"思路在 agentic AI 面前几乎完全失效。

痛点三:遗留系统的"债务"成为致命债务。五眼声明特别点出"legacy systems",这是 CISO 们抱怨多年但永远拿不到预算的领域。 AI 攻击者不会忽视那些跑 Windows Server 2008 、跑老版本 Cisco IOS 、跑没人维护的工业控制系统的角落——恰恰相反, AI 最擅长在这种地方批量找漏洞。
痛点四:决策优先级的撕裂。一个 CISO 同一周内可能收到三条相互矛盾的指令:合规部门要求他启用所有最新的 AI 审计工具; CFO 要求他冻结预算; CEO 看完五眼声明后冲过来问"我们准备好了吗"。这种撕裂比技术问题更难解决。
值得注意的是,五眼这份声明的语言风格非常不像传统的技术 advisory 。它没有列 CVE 编号、没有提具体的 IoC (入侵指标)、没有给威胁组织代号。它更像是一份给 C-suite 看的 business case。
这是有意的。声明真正想触达的不是 CISO ( CISO 早就知道这些事),而是 CISO 之上的董事会、 CEO 、 CFO 。五眼用"几个月内"、"代际级转变"、"立即行动"这种媒体友好的措辞,是在帮 CISO 制造内部预算谈判的杠杆。
五眼为什么是发出这个警告的最合适主体
回头看,由五眼来发这个警告几乎是必然的。
第一,他们有最完整的视野。五眼共享 SIGINT ,意味着 NSA 和 GCHQ 能看到的攻击模式比任何单一国家的情报机构都更全。他们能交叉验证某个新型攻击是不是真的来自中国国家支持的组织、是不是真的用了 AI 编排。
第二,他们离前沿 AI 公司最近。 Anthropic 、 OpenAI 都在五眼境内。英国 AISI 、美国 CAISI 都有正式的红队评估通道,能拿到模型在公开发布前的内部测试数据。
第三,他们承担最大压力。 Volt Typhoon 在美国关键基础设施里潜伏多年的事件、 Salt Typhoon 对美国电信巨头的渗透——这些都是五眼联盟过去两年的核心痛点。如果 AI 让这些攻击的执行成本下降一个数量级,他们的损失最大。

但这里也藏着一个反讽:五眼引以为傲的 SIGINT 优势正在被 AI 削弱。
他们的工作方式建立在"对手会犯错、信号会泄露、我们能捕捉"的假设上。但 AI agent 的出现颠覆了这个假设——一个被 jailbreak 的 Claude Code 在执行攻击时不会"犯错"。它不会忘记清理日志、不会在凌晨三点不小心连一次境内服务器、不会用同一个 C2 基础设施重复过多次,它的操作模式更接近一个完美执行的脚本。
他们的焦虑不只是"AI 让攻击更猛",更是"AI 让我们的看家本领贬值"。
三个剧本
把所有线索合在一起,未来 12 到 18 个月的演进可能落在三个剧本里。
最可能的剧本(概率约 55%): AI 网络攻击进入"日常化"阶段。我们会看到几起标志性的成功攻击——可能是某个中型企业的勒索软件被 AI 放大、可能是某个关键供应链组件被 AI 批量发现的 0day 击穿——但不会出现五眼担心的"颠覆性单一事件"。监管层面会有更多类似 Fable 5 的小规模出口管制摩擦,但不会有一部统一的 AI 安全立法。 Project Glasswing 类的防御侧投资和 Daybreak 类的合作伙伴生态会变成一个新的细分市场,规模在 2027 年达到数百亿美元。 CISO 们会逐步把"AI 攻击"纳入年度风险评估的标准条目,但大多数中型企业仍然在补丁周期、身份管理、遗留系统这三个老问题上挣扎。
最危险的剧本(概率约 25%):开源前沿模型——一个未来的 DeepSeek V5 或 Qwen 4——在 2026 年底到 2027 年初达到 Mythos 级别的能力,同时被某个国家级或半国家级威胁组织武器化,针对一个关键基础设施部门(电网、水务、医院网络)发动协同攻击。攻击不一定造成大规模物理破坏,但足以引发市场恐慌和监管过度反应。结果是各国出现拼凑式、互不兼容的 AI 出口管制,前沿 AI 研究全球协作的窗口被关闭,回到类似 1980 年代密码学出口管制的局面。这种"巴尔干化"会反过来削弱守护方的能力——因为防御侧最依赖的恰恰是开放的研究和共享的工具链。
最乐观的剧本(概率约 20%):五眼的警告产生了它想要的效果——足够多的政府和企业在未来 6 到 12 个月内做了三件事:把不该联网的系统下线、给关键访问加上多因素认证、建立可执行的事件响应剧本。同时, Anthropic 的 Glasswing 、 OpenAI 的 Daybreak 让大量历史漏洞在被攻击者利用之前就被找到并修复。 AI 在网络空间出现一种短暂但意义重大的"防御红利期"——因为防御方有结构性优势(可以在自己的代码上跑模型,攻击方需要先猜测目标),这个红利期可能持续 18 到 24 个月,给立法和国际协作争取到喘息时间。

三个剧本的真实结果大概率是混合体——某些方面接近最可能,某些方面接近最危险或最乐观。
一个更深的追问
如果只看声明本身,最容易得出的结论是"AI 让攻击者占了上风"。但把脉络拉长就会发现,真正的故事其实是另一个——
AI 正在让"攻击-防御"这对古老对偶失去意义。
过去八十年的网络安全叙事建立在一个假设上:攻击者和防御者是两套不同的人,使用不同的工具,在不同的时间窗里行动。补丁是给防御者的、漏洞是给攻击者的、 CVE 是中间人的协调机制。
但当一个 Claude Code 既能帮 Project Glasswing 找到 10000 个漏洞、又能被 jailbreak 后帮中国 APT 攻击 30 个目标时,这个二元对立坍塌了。攻击者和防御者使用的是同一个工具,差别只在于谁先用、用得多猛、 jailbreak 有多深。
五眼联盟的声明、 Anthropic 的 defense-in-depth 策略、白宫的出口管制——这三套响应都还在试图维持那个旧的二元世界。但格局已经在变。未来几年最重要的问题可能不是"如何让攻击者拿不到 Mythos",而是"当攻击者和防御者用同一个模型时,防御者要靠什么获得不对称优势"。
这个问题,五眼这份声明没有回答。 Anthropic 的 Glasswing 只回答了一半(先用、内部用、找完再补)。 OpenAI 的 Daybreak 只回答了三分之一(封闭 partner 生态、合规审计)。
剩下的部分,可能要由未来 18 个月里的真实事件来给答案。
声明里有一句话值得作为这篇文章的结尾:
网络风险假设可能在数月内、而非数年内变得过时。
它的反面同样成立——任何关于 AI 威胁的当下判断,包括上面的所有内容,也可能在数月内变得过时。这是 AI 时代研究者必须承认的局限。但承认局限不等于停止研究。在一个加速变化的世界里,反复重估、勤勉追踪、不羞于修正,本身就是网络韧性的一部分。
夜雨聆风