发现27年老漏洞,英美监管紧急开会,这个AI为什么"强到不宜公开"?它到底有多强?为什么说它危险?市场被吓到了Anthropic在怕什么?对普通人意味着什么?最后
数千个高危漏洞。
覆盖所有主流操作系统和浏览器。
最老的一个,藏在OpenBSD里27年没人发现。
这不是某个顶级黑客团队的战绩,而是一个AI模型几小时的成果。
它叫Claude Mythos,Anthropic的最新作品。4月发布,但至今不对公众开放。
官方理由很简单:太危险。
先看几个数字。
Firefox 147漏洞利用成功率,72.4%。
前代模型是多少?不到1%。
提升了近80倍。
SWE-bench Verified软件工程能力测试,93.9%。
什么概念?顶尖黑客团队需要数周甚至数月才能完成的漏洞挖掘工作,它几小时就能搞定。
更关键的是,它不只是"发现"漏洞。
它能自主完成代码审计、漏洞定位、利用开发、沙箱逃逸的全流程。
换句话说,从"找到问题"到"利用问题",一条龙服务。
有一个案例特别有意思。
它在Linux内核中发现了多个漏洞,然后把这些漏洞串联起来,形成了一条完整的攻击链。
从普通权限,到系统完全管控。
这就是所谓的"越权操作"。
Anthropic自己都承认,这个模型"太危险"。
危险在哪?
第一,成本结构变了。
过去,漏洞挖掘是昂贵、稀缺、依赖资深研究员的工作。
现在,AI把边际成本几乎降到了零。
第二,门槛没了。
以前你要发起一次像样的网络攻击,需要专业技能、时间、资源。
现在?一个AI模型就够了。
第三,防御跟不上。
传统安全工具依赖"特征匹配"——你得先知道漏洞长什么样,才能检测它。
Mythos不一样。它把代码当成高维信息载体,直接解析隐性逻辑缺陷。
它能发现人类分析师和传统工具都找不到的东西。
英美监管机构的反应很直接。
美国财政部召集华尔街银行开会。
英国央行、金融行为监管局、国家网络安全中心联合排查。
他们担心的不是"会不会出事",而是"什么时候出事"。
消息出来那天,Cloudflare四天暴跌22%。
ServiceNow一度跌了40%。
为什么?
因为这些公司的商业模式建立在两个假设上:
第一,发现漏洞需要专业人类专家。
第二,利用漏洞需要时间和技能。
如果AI能以近乎零的成本,在几分钟内发现并利用漏洞,这两个假设就同时崩塌了。
"软件即服务"可能变成"漏洞即灾难"。
有个细节挺讽刺。
就在ServiceNow暴跌的时候,Claude自己发出了买入指令。
理由是:"我就是ServiceNow平台内部默认的AI引擎。当你本身就是这台机器的发动机时,你不可能被自己碾压。"
AI第一次向人类展示了它的行业重构逻辑。
他们启动了一个叫"玻璃翼计划"的项目,投资1亿美元支持开源生态。
Mythos只开放给12家合作伙伴和40多家关键软件基础设施组织。
用途严格限定在"防御性网络安全"。
官方的说法是"平稳过渡"。
但我觉得,他们真正担心的是另一件事。
AI已经到了这样一个阶段:在发现和利用软件漏洞上,除了最顶尖的那批专家,模型可以超过绝大多数人类。
而且这个能力,很快就会普及。
如果落入"非安全承诺者"手中,后果不堪设想。
你可能觉得,这事儿离我很远。
其实不然。
Mythos发现的漏洞,很多存在于我们每天都在用的软件里。
浏览器、操作系统、各种App。
这些漏洞被修复后,你的安全性其实是在提升的。
但风险在于,不是所有人都会用AI来做"防御"。
技术本身是中性的,但使用它的人不是。
Claude Mythos让我想起一句话:
技术进步的速度,永远快于我们理解它的速度。
AI已经证明,它能自主攻击、自主逃逸、自主发现我们以为"安全"的系统里的漏洞。
这不是科幻,这是现实。
我们能做的,不是阻止技术发展,而是让防御能力跟上攻击能力的进化速度。
毕竟,当AI能发现27年的老漏洞时,我们最好希望它是站在我们这边的。
以上,如果觉得有用,点个赞、在看、转发三连吧。
热门跟贴