3天卖了50万份——不对,这次不是销量数据,是AI模型在网络安全领域搞出的动静。Anthropic的Claude Mythos最近让一帮搞安全的人睡不着了,Cloudflare刚放出的测试报告,算是给这股 hype 添了把实锤。

先说清楚 Mythos 到底干了什么。这个还没正式发布的模型,在网络安全圈子里横扫了一圈,号称能在主流操作系统和浏览器里找出成千上万的漏洞。听起来很吓人,但作为一个远离技术圈的普通人,我之前其实没搞懂这玩意儿到底该信几分。直到看了 Cloudflare 的分析,才算有点概念。

打开网易新闻 查看精彩图片

Cloudflare 是 Anthropic"Project Glasswing"项目的参与方之一。这个项目的逻辑挺有意思:既然 AI 迟早会被坏人用来搞攻击,那不如让"好人"先用上更猛的 AI 来防守。Anthropic 的原话是,Mythos Preview 是一个"通用型未发布前沿模型",它的编码能力已经到了"能找到并利用软件漏洞,水平超过绝大多数人类"的程度。Glasswing 就是要把这种能力用在防御上。

具体操作上,Anthropic 给一批重要科技公司开放 Mythos Preview 的访问权限,让它们扫描自己的系统和开源代码,还白送了最高 1 亿美元的额度。名单包括 Amazon Web Services、Apple、Google、Microsoft、Nvidia,当然还有 Cloudflare 自己。

有人可能会问:主动把漏洞挖出来,不怕被坏人学去?这其实不是新鲜事——公司本来就会请"红队"来干同样的事,目的就是先 patching。Mythos 的区别在于规模,AI 能把以前人干不了的细活也给办了。

Cloudflare 的评价很直接:这是"真正的进步",不是之前模型的简单优化。关键变化在于,Mythos Preview 能把那些以前没人管的低危漏洞串起来,变成一次真正严重的攻击。原文说法是,模型可以"take those low-severity bugs (which would traditionally sit invisible in a backlog) and chain them into a single, more severe exploit"。

测试里让 Cloudflare 印象深刻的两个点:一是"exploit chain construction"——智能串联漏洞的能力;二是"proof generation"——不光说有问题,还能实际演示怎么利用。后者挺重要的,安全圈最怕的就是"报了一堆漏洞但复现不了"的噪音。

不过模型也不是完美的。Cloudflare 的测试报告里留了个话头没说完,但意思很明显:别把它当万能钥匙。具体哪里不行,原文没细说,咱也不瞎猜。

作为玩家视角的总结:这玩意儿有点像游戏里的"官方外挂"——厂商先用上最强的扫描工具,赶在脚本小子之前把洞补上。对普通用户来说,理论上你的账号和数据会安全一点。但说实话,AI 攻防这件事本身就像军备竞赛,今天 Anthropic 当好人,明天会不会有别的模型流出去,谁也说不准。Cloudflare 那句"像资深研究员干的活",既是对 Mythos 的肯定,也可能是个提醒——当 AI 能做到这个水平的时候,防守方的压力只会越来越大。