本月,在一场不对外公开的国会听证会上,参议员马克·沃纳丢出了一枚震动安全界的证词。他当着同僚的面转述了美国国家安全局(NSA)局长约书亚·鲁德的原话——一款从未公开发布过的AI模型,在一次受控演练中,“在几小时内就闯入了我们几乎所有的机密系统,而不是几周。”沃纳的发言瞬间被多家主流媒体捕捉,美联社第一时间做了详细报道。而这款让情报机构后背发凉的模型,正是Anthropic于今年4月初悄悄推出的Mythos预览版。
Anthropic在4月展示Mythos后,做了一个反常决定:不给公众用。原因很直接,官方评估认为它发现和利用软件漏洞的能力过于强大,不适合开放。于是它转而走了一条“限量内测”路线,仅向少数几家大型企业开放合作,目标也很清晰——赶在攻击者手里出现同类工具前,先把这些公司的关键系统修得再结实一点。这个动作当时在圈内就引发了小范围讨论,但直到后来一连串厂商站出来晒成绩单,人们才真正意识到这个模型的破坏力。
最先发声的是Mozilla。他们用Mythos扫描自家的火狐浏览器代码库,结果密集到令团队既兴奋又紧张。Mozilla对外表示,这个工具“毫不逊色于世界最顶级的真人安全研究员”,仅4月一个月,借助Mythos发现的漏洞就让火狐推送了超过400项安全修复。紧接着,更多参与测试的企业传来了类似反馈。Anthropic在测试推进约一个月后披露,首批50家参与公司的总体数据是:在两个多月里发现了超过10,000个关键和高危级别的安全漏洞。
Anthropic产品负责人在一份声明中引用了几个具体的合作案例。“有好几家公司告诉我们,他们的漏洞发现速度增加了十倍不止。”其中最典型的是Cloudflare,其在核心路径系统里一次性筛出2,000个缺陷,其中400个属于高危或严重级别。更让Cloudflare安全团队意外的是,Mythos的误报率居然优于人类测试员。这些来自真实生产环境的验证,把Mythos从一个“内部实验室里的强大模型”推到台前,也间接解释了为什么它能在一个下午冲进NSA的机密网络。
回到那场关键的政府演习。美联社进一步采访了一位不具名的美国官员,对方澄清了一个容易误读的细节:Mythos在几小时内做到的,是识别出漏洞,而不是当场完成复杂的利用攻击。但即便只是“找出脆弱点”,这个速度已经足够让决策层高度警惕。理论上,一个能被快速定位的高危入口,在真实对抗场景中很可能就是攻击链的第一环。而这次测试的对象,还是平时被层层防护的美国政府机密系统——这种背景下,几乎全数失守的测试结果,比任何商业公司的好评都更有说服力。
现在回看整个时间线,Anthropic的策略有几分“防守式研发”的意味。4月初放出Mythos预览版,却只给合作企业用;5月密集收获数十家公司的验证数据;同期与情报机构合作开展受控攻防演练,并由参议员在国会听证会上首次披露结果。这套路径绕开了公测后可能引发的滥用风险,同时快速聚拢了一线安全团队的实战反馈。对Anthropic而言,Mythos既是一张技术底牌,也是一种催促产业提前布防的信号——用模型跑在攻击者的前面,而不是等着漏洞在黑市里被交易。
当然,伴随惊叹而来的是新一轮担忧。参议员沃纳在听证会上直接点出了核心矛盾:同一个工具,用来找漏洞就是安全防御的加速器,用来发动攻击就会变成网络武器。哪怕Mythos目前只向可信伙伴开放,它的方法论和能力边界一经暴露,就很难阻止其他团队朝同一方向追赶。不过,从首批50家企业的实际成效看,Mythos至少证明了一点:AI驱动的漏洞挖掘已经从概念走向工程化,并且能在真实软件栈中产生立竿见影的防御价值。这场由一款未公开模型引发的连锁反应,很可能只是大规模自动化安全对抗的开端。
热门跟贴