Anthropic的安全团队Mythos上个月甩出一份红队报告,把自家Claude模型的危险能力摊在桌上——从生物武器设计到自主复制,样样俱全。结果?企业安全主管们的收件箱安静得像深夜的服务器机房。

报告作者之一在X上发了句牢骚:「好奇有多少大公司的CISO把这份报告当真红警看了,我猜没几个。」这话像颗石子扔进池塘,连涟漪都没溅起来。

历史数据确实难看。过去三年,从GPT-4到Gemini,每次模型能力提升都伴随着类似的安全预警,而企业的平均响应时间是——六个月。等安全团队走完评估、立项、招标的流程,下一代模型已经上市了。换句话说,他们永远在追一辆已经发车的火车。

这次Mythos的报告更棘手。它不像传统的漏洞通告,修个补丁就能完事。模型能力是内生风险,用还是不用,成了两难。一位安全架构师私下吐槽:「CISO的KPI是别出事,不是别用AI。这份报告读得越认真,决策越难做。」

最讽刺的细节藏在报告附录里。Mythos团队特意标注了「建议每季度复测」,但附带的工具链还没开源。企业想跟进,先得等Anthropic把梯子放下来。