1997年,一个程序员在邮件列表里随手写下的代码逻辑,成了埋进互联网地基的一颗哑弹。27年后,Anthropic的Claude Mythos用了不到5分钟,把它找了出来。
这不是演习。安全研究员用这套AI扫描真实系统时,发现它的漏洞挖掘速度比传统工具快了几个数量级,而且不需要人类先告诉它"往哪看"。
从"大海捞针"到"按图索骥"
过去找漏洞像考古。专家得先熟读几百万行代码,理解业务逻辑,再凭经验猜哪里可能藏雷。Claude Mythos的做法更接近给AI一张地图,让它自己标注"这里土质不对"。
Anthropic的测试显示,这套系统能在复杂代码库中自主定位潜在弱点,包括那些人类审计员反复检查都没发现的边缘案例。关键是它不需要针对每个新项目重新训练——读一遍代码,直接开工。
一位参与测试的研究员形容:"以前我们教AI识别漏洞,相当于教它认邮票。现在我们把整本集邮册扔给它,它自己开始分类整理,还顺手发现了几张错版。"
效率飙升背后的两面性
好消息是防御方终于有了一件称手的工具。银行、医院、电网运营商——这些跑在老旧代码上的关键基础设施,理论上可以更快堵住漏洞。
但硬币翻过来同样刺眼。如果一家AI公司能做到的事,其他AI公司也能做到。漏洞挖掘的门槛被削平,意味着攻击者的工具箱也在同步升级。
更微妙的是时间差。企业给系统打补丁的速度,能不能追上AI发现漏洞的速度?27年的旧债,可能要在几个月内集中清偿。
行业正在重新算账
传统安全公司的商业模式建立在"专家稀缺"上——人越贵,服务越值钱。Claude Mythos的出现,把稀缺性从"人"转移到了"算力"和"模型能力"。
一些安全团队已经在调整编制:减少初级代码审计岗位,增加AI输出的人工复核环节。这不是裁员故事,而是工种置换。AI负责"广撒网",人类负责"精准判断"。
但置换的代价是什么?当AI发现的漏洞数量呈指数级增长,人类的复核队列会不会直接爆仓?
Anthropic没有公布Claude Mythos的具体技术细节,只提到它基于"扩展推理能力"。安全圈的猜测集中在一点:这玩意儿是不是已经能模拟攻击者的思路,而不仅仅是匹配已知漏洞模式?
如果答案是肯定的,那么27年的旧漏洞只是开胃菜。真正的问题或许是:还有多少颗哑弹埋在代码深处,而下一颗被挖出来时,握在谁手里?
热门跟贴