一家AI公司给产品起名"Mythos"(神话),结果成了自我实现的预言——不过是反过来的那种。

Anthropic的代码安全模型Mythos最近进入公众视野,带着Project Glasswing的封闭测试和一堆期待。但仔细拆解它的实际能力,你会发现这个名字的讽刺意味:它确实像神话一样,部分是信念,部分是现实,中间还有不少漏洞。

打开网易新闻 查看精彩图片

它能做什么:把专家知道的东西自动化

Mythos的核心价值很实在——它能批量处理人类安全专家已经掌握的那套工作。

已知漏洞类别?找得又快又准。需要人工逐行审计的枯燥环节?大幅压缩。对于已经有成熟安全团队的企业来说,这是趁手工具。

但原文的观察很直接:它"非常擅长发现人类已知的漏洞类别,同时找不到人类不知道的"。

这不是贬低。任何经历过AI代码助手幻觉的开发者都懂,一个"知道自己不知道什么"的工具,比瞎猜的强百倍。Mythos的边界感,恰恰是它负责任的地方。

Project Glasswing:一场有节制的实验

Anthropic没有开放下载,而是把早期使用限制在"有真实需求的可信合作伙伴"。

这种做法在AI圈显得反常。竞争对手的同类模型已经能公开获取,Anthropic却选择慢半拍。两种解读:

cynic(愤世嫉俗者)说这是营销表演,用稀缺性造神话;

optimist(乐观派)看到的是一个AI公司罕见地先想后果再发产品。

原文的立场偏向后者:把这看作"更好未来的早期 glimpse( glimpse)"。不是终点,是起点。

更大的图景:代码安全的工业时代前夜

一个被忽略的事实:绝大多数正在运行的代码,诞生于"前工业化"的漏洞检测时代。

人眼审计,手工排查,依赖个人经验——这是现状。把全自动化的漏洞狩猎机器人突然扔进这个环境,"会很混乱"。

但过渡期终将过去。原文提出一个关键区分:

已部署代码 vs 未部署代码。

后者是安全的绝对保证——不存在安全风险的代码只有一种,就是还没上线的代码。新代码总有各种问题,但问题数量是有限的。如果在发布前用上真正优秀的工具,代码可以被做到真正优秀。

之后坏家伙拿到同款工具?不重要。漏洞在上线前已被消灭。

航空业的隐喻:从掉飞机到可追溯

原文频繁引用航空安全作为模型,这个类比值得展开。

喷气时代初期,新客机带着结构和机械缺陷上天,确实会掉下来。随着时间推移,设计知识、材料科学、工程规范、监管体系同步进化。现在仍有坠机,但原因变得可预期、可追溯——"本该做对却没做对的事",而非"从未见过的神秘故障"。

代码安全正在走这条路。Mythos们不是终点,是演化中的一个节点。

inevitability( inevitability):没有长期秘密

两个命题指向未来:

第一,这类工具的效果会持续进化,暴露更多结构和个体代码缺陷;

第二,它们终将普及。多快、多便宜或许可控,但结果不可避免。

IT领域没有长期秘密。封闭测试是暂时的,技术扩散是永恒的。

Anthropic的"瑞士奶酪"策略——有孔洞但结构完整,有限开放但方向正确——可能是穿越过渡期的务实选择。神话会褪色,但工业化不会停止。等到机器人可以任意漫游的那一天,希望我们已经把该修的修完了。

毕竟,让漏洞在上线前被AI发现,总比上线后被黑客发现便宜得多。这个账,连最 cynic 的CTO都会算。