当一家AI公司发现你银行系统里上百个零日漏洞,却以技术管控为由不让你看到报告——你会作何感想?过去几周里,这几乎是整个欧盟金融与关键基础设施部门的共同处境。而现在,这场围绕Anthropic旗下网络安全模型Claude Mythos的准入拉锯战,终于画上了句号:Anthropic同意向欧盟网络安全局(ENISA)开放访问权限,使它成为首个加入“玻璃翼计划”(Project Glasswing)的欧盟机构。
时间线很清晰。2026年4月,Anthropic以“Claude Mythos预览版”的名义放出了这个在网络安全领域掀起巨浪的模型。它不是通常意义上那种盯着已知漏洞库扫描的工具,而是能够自主在复杂代码中嗅探、理解代码逻辑,并生成有效攻击程序的全新力量。在一次内部测试中,Mythos首次尝试就生成了可实际利用的漏洞利用代码,成功率超过83%。仅仅在进入玻璃翼计划后的头一个月,它就累计发现了超过1万个高危及严重级别的零日漏洞,波及市面上几乎所有主流操作系统和浏览器。
一边是令人兴奋的能力,一边是迅速升高的地缘性不安。Mythos最初仅向经过审查的大约40家美国企业与特定政府机构开放,之后才将范围扩大到英国的金融机构。与此同时,它发现的那些漏洞,有不少正潜伏在欧洲银行、政府部门和大型基础设施服务商日常依赖的核心系统中。欧盟轮值主席国几国财长、欧洲央行以及多个成员国相继提出质问:如果我们的系统千疮百孔,而唯一能看见裂缝的AI在美国手里,且我们连一份漏洞报告都拿不到,这算哪门子安全?
ENISA与欧盟委员会就此和Anthropic拉开了谈判的序幕。公开信息显示,从Mythos公布后不久,双方便来回进行了四到五轮会谈,但进展一度陷入停顿。症结并不难理解:一方要求开放,另一方顾虑模型能力扩散的风险。上周,欧洲委员会官员索性飞到旧金山当面施压,而最终突破也在随后到来。ENISA的一位发言人对外确认:“访问资格已经提供,但条件仍在商议中。”Anthropic选择在周末向欧盟委员会正式传达放行决定,ENISA就此成为玻璃翼计划内第一个获得准入的欧盟机构。
至于具体的症结点,Anthropic与欧盟方面都未对外披露。唯一可以确定的是,它能逼得大西洋两岸高层坐下来反复拉锯,本身就说明Mythos的份量。这个模型可以毫不停歇地模拟过去需要一整个安全研究团队耗上数月才能完成的攻击路径,从漏洞发现到利用编写,它独自就能完成闭环。Anthropic自己的解释是,这并非什么神秘的黑客魔法,而是一个能深度理解和修改复杂软件的AI,它自然也能找到并修补其中的漏洞。微软、苹果、谷歌、Cloudflare等超过50家大型科技组织已经接入了这种能力,对各自的高关注度代码库进行“精准打击”。
从行业格局看,OpenAI也推出了对标计划Daybreak,试图在漏洞发现和自动生成补丁上展开追赶,但Mythos凭借着史无前例的零日漏洞发现率依然稳坐基准位置。这次向ENISA的开放,不仅结束了一场罕见的大西洋两岸AI准入僵局,也为后续的跨国安全合作提供了一个新的模板——尽管模板里的条款还会逐字敲定。当全局性安全风险遇上国家级的准入博弈,Mythos交出的答卷或许才刚刚翻开第一页。
热门跟贴