6月12日,美国商务部一纸禁令,把自家最强AI模型Mythos 5和Fable 5关进了笼子。仅仅3天后发布的中国版Mythos——360"图龙锋",已经默默挖出了3432个漏洞。一场围绕AI安全能力的全球博弈,正在改写30年来的网络攻防规则。
一、3天从发布到封杀:美国为何自断双臂?
6月9日,Anthropic发布了两款旗舰大模型:
- Claude Fable 5:面向公众的最强模型,编程与推理能力远超前代
- Claude Mythos 5:内部"地表最强"版本,具备自主发现漏洞、分析漏洞、甚至构造网络攻击武器的能力
发布当天,全球科技圈一片沸腾。但仅仅3天后,6月12日17:21,美国商务部工业与安全局(BIS)紧急下发出口管制令——
要求Anthropic立即禁止所有外国国民(包括身处美国境内的外籍员工)访问Fable 5和Mythos 5。任何向外国个人或实体出口、再出口或国内转让的行为,都需要获得许可。
Anthropic被迫全面下架这两款模型。连自家外籍员工都被一并封禁,只能对外宣布"暂时维护"。导火索是亚马逊内部人员找到了绕过Fable 5安全限制的方法,高管紧急上报监管部门。
更震撼的是6月23日,一家美国法律科技公司Legion正式起诉美国政府,称封禁Fable 5对其造成"致命损害"——其加拿大籍开发者再也无法使用核心开发工具。
二、GPT-5.6也遭限量!美国AI走向"白名单时代"
Anthropic不是唯一被管的公司。6月25日,白宫要求OpenAI分阶段发布GPT-5.6——不再全面对外开放,所有使用客户需要政府逐一审批。这是行业首次在模型正式发布前就落地管控措施。
6月27日,GPT-5.6有限预览版终于上线,包含三个版本:
- Sol(太阳):旗舰版,价格与GPT-5.5相同,性能更强
- Terra(地球):均衡型,性能媲美GPT-5.5,价格仅一半
- Luna(月亮):快速实惠型
但只有获得美国政府批准的"受信任合作伙伴"才能用上。6月26日同一天,Mythos 5也获有限解禁——仅限约100家美国本土企业和政府机构白名单,全球绝大多数开发者仍被挡在门外。

三、中国版Mythos来了!图龙锋已挖出3432个漏洞
就在美国忙着封杀自家AI的时候,6月24日,ISC.AI 2026(第十四届互联网安全大会)上,360集团创始人周鸿祎放了个大招——
360正式发布AI安全"倚天屠龙"两大核心能力:
- 图龙锋:漏洞自动化挖掘智能体,定位"中国版Mythos"
- 仪天阵:网络安全自动化防御系统
图龙锋的成绩单令人震惊:
- 累计挖掘漏洞3432个
- 监管确认漏洞105个
- 多个漏洞被国家漏洞库定义为高危漏洞
- 覆盖开源代码、操作系统、办公软件、AI智能体平台等场景
更重要的是,360走了一条与Mythos不同的路线——
Mythos依赖超大模型+超大算力,图龙锋则走智能体工程化路线:把安全大模型、攻防实战经验、智能体平台、漏洞知识库和安全工具链组织成可协同工作的蜂群系统,面向真实攻防场景实现自动化漏洞挖掘。
同时,360联合飞腾、麒麟等信创伙伴发起"磐石之盾"安全协作计划,首批覆盖芯片、操作系统、数据库、云计算等关键领域。
四、华尔街日报急了:再封等于把优势让给中国
6月27日,《华尔街日报》发表文章,罕见地"意有所指"地炒作渲染——
中国AI系统在某些网络安全场景中的表现已追平Anthropic的Mythos,这一进展有望重塑全球科技竞争格局,并给白宫正在推进的美国AI政策调整带来压力。
周鸿祎在ISC.AI 2026上的判断更直白:
- Mythos的出现,让网络攻防从"人的速度"进入"机器速度"
- 政企单位的防御窗口被大幅压缩
- "国产基座模型和Anthropic比还有差距,短期内赶上需要时间。但我们等不起。"
- 解决方案:用智能体蜂群系统弥补单模型能力差距
简单说就是:美国把最强AI关起来不让人用,中国则用工程化方案造出了"够用但自主可控"的同等能力——而且还在快速迭代。
五、为什么这件事跟你有关?AI安全3大现实冲击
冲击1:你的系统可能已被AI扫描过
Mythos级别的能力意味着:过去一个资深安全研究员花几周才能发现的漏洞,AI现在几小时甚至几分钟就能找到。如果你的系统还没做AI时代的漏洞自查,大概率已经裸奔在攻击者的视野中了。
冲击2:传统安全产品正在"失灵"
周鸿祎的原话:传统网络安全行业正遭遇"降维打击"。基于规则和签名的老式防火墙、WAF、IDS面对AI自动化攻击基本等于摆设。攻击不再是"写个exp脚本"的人工操作,而是AI批量生成、自适应变异。
冲击3:最强AI模型普通人用不上了
Mythos 5白名单制、GPT-5.6审批制——这标志着AI行业从"开放普惠"转向"管控分层"。未来最强AI能力可能只属于少数获批机构,普通开发者和中小企业需要寻找替代方案。
六、实操指南:5步用国产AI工具构建安全防线
既然最强AI被管起来了,我们更要用好自己的工具。以下是面向企业和开发者的实操步骤:
Step 1:摸底自有系统的AI攻击面
用国产AI安全工具(如360图龙锋、深信服AI安全大脑等)对核心系统做一次全面扫描:
- 开源组件依赖链(供应链漏洞是重灾区)
- API接口未鉴权和越权问题
- AI智能体自身的prompt注入风险
Step 2:部署AI驱动的漏洞监控流水线
不要等年度渗透测试,把AI扫描嵌入CI/CD:
# 示例:在GitHub Actions中接入AI安全扫描
name: AI Security Scan
on: [push, pull_request]
jobs:
ai-vuln-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: AI漏洞智能扫描
run: |
# 调用国产AI安全API进行代码审计
ai-scanner --target ./src \
--mode deep \
--output sarif > results.sarif
Step 3:建立AI攻击模拟靶场
用AI生成攻击流来测试防御体系的有效性:
- 部署蜜罐和欺骗网络,用AI模拟多维度攻击路径
- 记录防御系统响应时间,确保在"机器速度"对抗中不落败
- 每周至少一次红蓝对抗演练
Step 4:接入国产AI安全生态
关注以下国产AI安全能力平台:
- 360图龙锋:漏洞自动化挖掘(适合政企自查)
- 360仪天阵:自动化防御系统(适合实时防护)
- 磐石之盾协作计划:联合飞腾、麒麟等信创生态(适合关键基础设施)
- 深信服AI安全大脑:云边端一体防护
Step 5:关注政策动态,提前合规
美国AI出口管制已从"事后追罚"升级为"发布前审批",中国也在加速AI安全立法:
- 工信部已印发《"人工智能+信息通信"创新发展行动计划》
- 确保你的AI工具链有国产替代方案,避免因出口管制断供
- 关键业务系统优先使用信创底座(飞腾CPU+麒麟OS)
七、写在最后:AI安全的"矛与盾"已进入新纪元
回顾过去三周的戏剧性事件:
- 6月9日:Anthropic发布地表最强AI
- 6月12日:美国3天封杀自家模型
- 6月24日:中国版Mythos上线,已挖出3432个漏洞
- 6月26日:Mythos 5有限解禁,GPT-5.6限量发布
- 6月27日:华尔街日报警告"再封等于让给中国"
这不是一个简单的"谁家模型更强"的故事。这是AI能力从民用技术升级为国家级战略资产的分水岭。当AI能自主发现漏洞、构造攻击时,它的管控逻辑就从"产品监管"跳到了"军控级管控"。
对普通人来说,最重要的信号是:最强AI不再是想用就能用的。但好消息是,中国正在用自己的方式补上这块拼图——不一定是最强,但一定是自主可控的。
周鸿祎说得好:"自己的漏洞,必须自己先看见。"在AI安全的新纪元里,这可能是最重要的一条法则。
夜雨聆风