1999年写进OpenBSD的代码,2025年还在跑。中间经历了数百次代码审查、安全审计、大版本迭代——没人发现那个有符号整数溢出的漏洞。FFmpeg的H.264解码器里藏了16年的越界写入,500万次自动化模糊测试(fuzzing)都没撞出来。
然后一个AI模型读了读代码,找到了。
Anthropic刚发布的Claude Mythos Preview不是聊天机器人,是专门吃漏洞的审计员。它没被告知"看这里"或"检查这个函数",自己翻完代码,定位缺陷,写出利用程序。黑盒测试、二进制分析、完整渗透测试,甚至逆向闭源浏览器和操作系统,通过重建的源代码分析找漏洞。
人类验证者手动审查了198份报告:89%与Claude的严重性评估完全一致,98%只差一个等级。
那些"不可能被发现"的漏洞
Mythos的战果清单读起来像安全行业的耻辱簿。
OpenBSD的TCP SACK实现,1999年的代码。远程拒绝服务漏洞,27年。FFmpeg的哨兵碰撞导致越界写入,16年,500万次fuzz测试零检出。Linux内核里,Mythos把多个漏洞串成完整的权限提升链,干掉了栈金丝雀、KASLR、W^X这些硬化保护——不是单个漏洞,是可用的攻击链。
FreeBSD的NFS服务,17年历史的远程代码执行。未认证root访问。完全自主发现,完全自主利用,没人指挥。
Firefox 147,Mythos成功开发出JavaScript shell漏洞利用181次。Claude Opus 4.6,之前最好的模型?两次。
Anthropic的报告数字:1000多个关键严重漏洞,数千个高严重漏洞,覆盖所有主流操作系统和浏览器。这些漏洞熬过了几十年人工审查和数百万自动化测试,被一个没有指向性提示的模型挖了出来。
从"辅助工具"到"自主代理"的跨越
之前的AI安全工具需要人喂方向。Mythos的区别在于"on its own"——自己决定看哪,自己判断有没有问题,自己构造验证。
UC Berkeley开发的CyberGym基准测试,用来评估AI在真实网络安全环境中的表现,不是教科书式的夺旗赛。Claude Opus 4.6得分66.6%,Mythos 83.1%。SWE-bench Pro上,将近25分的提升。这不是版本迭代,是代际跳跃。
更麻烦的是它的工作方式。逆向闭源系统时,Mythos从二进制重建源代码逻辑,再分析漏洞。这意味着它对付的不只是开源代码——任何能被它读到的东西都在射程内。
传统安全行业的分工是:人工审计找逻辑漏洞,自动化工具找内存问题,fuzzing碰运气。Mythos把这三件事合并,还加了"自主决策看哪里"的第四层。
兴奋背后的结构性问题
这对防守方是好消息还是坏消息,取决于你站在哪边。
好消息很明显:审计成本可能崩盘。一个能读27年遗留代码、串漏洞链、逆向闭源系统的模型,相当于把高级安全研究员的产能放大几十倍。89%的严重性评估准确率意味着人工复核的工作量可控,不再是每份报告都需要专家盯半天。
坏消息同样明显:攻击者也能用。Mythos的技术报告没有公开模型权重或详细方法,但思路已经摆在那里。自主漏洞挖掘+自动利用生成,这套能力没有道德开关。
更深的问题是行业惯性。OpenBSD以代码审查严格著称,FFmpeg被fuzz了500万次——这些"足够安全"的标杆被击穿,说明现有验证体系的盲区比想象中大。Mythos找到的不是边缘案例,是核心组件里藏了十几年的基础漏洞。
有个细节值得玩味:Mythos在Firefox上的181次成功,对比Opus 4.6的2次。同样的浏览器,同样的任务,模型迭代带来的不是线性提升,是数量级的跃迁。这意味着能力曲线可能还没 flatten,下一代模型会是什么水平?
Anthropic没有公布Mythos的部署计划或商业定价。但技术报告里的暗示很清楚:这不是实验室玩具,是已经跑完真实代码库的生产级能力。1000多个关键漏洞的发现过程,本身就是对"AI只能做辅助"这种说法的反驳。
安全行业的老笑话是:漏洞总在被发现后才显得明显。Mythos的可怕之处在于,它让"明显"的标准变了——不是人类觉得明显,是模型在读了几百万行代码后觉得明显。而它的判断,89%的情况下和人类专家一致。
当AI开始独立发现人类27年都没看到的漏洞,并且能自己写出利用程序,我们还需要重新定义"自主"的边界吗?
热门跟贴