目录
2026 年 4 月,Anthropic 发布了「Claude Mythos Preview」。其最大特点是:网络安全能力相比上一代模型出现数量级跃升。Mythos 自主发现了 OpenBSD、FFmpeg、FreeBSD、Linux Kernel 以及主流浏览器中数千个零日漏洞,并从零生成了一条由四个漏洞串联起来、可逃逸浏览器沙箱的利用链。
Anthropic 决定不向公众发布 Mythos。它仅通过有限合作伙伴计划「Project Glasswing」(AWS、Apple、Google、Microsoft、NVIDIA、JPMorgan Chase、Linux Foundation 等)运营,采取的策略是:抢在被滥用之前,把这种能力交到防御方手里。
本文从攻击与防御两个视角,梳理 Mythos 揭示的AI 网络安全新格局。资料来源包括 Anthropic 官方网站(red.anthropic.com)、英国 AI Safety Institute(AISI)、Fortune、Dark Reading、The Hacker News,以及 Trend Micro 的 2026 年预测报告。
AI 网络安全的临界点
——2026 年 4 月 Claude Mythos 发布带来的变化
1. Claude Mythos——被 Anthropic 封存的最强模型
1)公开过程
2026 年 3 月 26 日,Fortune 抢先报道了 Anthropic 内部正在开发的、被形容为「阶跃式」(step change)能力提升的超强模型「Mythos」的存在。Anthropic 随后正式确认其存在,并于2026 年 4 月 8 日以「Claude Mythos Preview」的名义有限度地推出。
2)大幅超越 Opus 4.6 的性能
Mythos 是基于 Claude Opus 4.6 构建的、专攻网络安全的特化版本。Anthropic 公开的内部评测结果如下:
| 评测项目 | Sonnet 4.6 | Opus 4.6 | Mythos Preview |
|---|---|---|---|
| OSS-Fuzz 崩溃检出(tier 1+2) | 1 | 1 | 595 |
| OSS-Fuzz 崩溃检出(tier 3+4) | 0 | 0 | 少量 |
| tier 5(完全控制流劫持) | 0 | 0 | 10 |
| Firefox JavaScript 引擎漏洞利用成功次数 | — | 2 | 181 |
| 企业网络攻击模拟 | — | — | 可自主完成 10 小时量级的任务 |
Opus 4.6 在自主漏洞利用开发上「接近 0%」,Mythos 已经达到了实用水平——这就是「step change」的真正含义。
3)为什么不向公众发布
Anthropic 官方声明称:「Mythos Preview 一旦落入恶意之手,可能成为威胁全球关键基础设施的工具。」公司启动了 Project Glasswing,构建了一个仅限有限合作伙伴使用该模型的机制,优先「在攻击方获得同等能力之前,先把它部署到防御方手中」。
合作伙伴名单(官方公布):
- 云与操作系统厂商:AWS、Apple、Google、Microsoft、NVIDIA、Linux Foundation
- 安全公司:CrowdStrike、Palo Alto Networks、Broadcom(Symantec)
- 金融:JPMorgan Chase
- 网络设备:Cisco
相关阅读:Claude Opus 4.7 走的是与本条产品线不同的另一条发布路径。
2. Mythos 发现的数千个零日漏洞
Mythos 发现的代表性零日漏洞(部分已通过协调披露完成修复):
| 目标 | 漏洞 | 影响 |
|---|---|---|
| OpenBSD(TCP SACK) | 潜伏 27 年的远程拒绝服务漏洞 | 可远程使 OpenBSD 主机失去服务能力 |
| FFmpeg(H.264 编解码器) | 追溯到 2003 年、潜伏 16 年、所有 fuzzer 与人工审查均未发现的缺陷 | 通过视频文件触发远程代码执行 |
| FreeBSD NFS | 潜伏 17 年、可在未认证情况下取得 root 权限的远程代码执行 | 可彻底接管对外暴露的 NFS 服务器 |
| Linux 内核 | 串联 2~4 个漏洞实现的提权 | 普通用户可直接提升到 root |
| 主流浏览器 | 沙箱逃逸 + 跨源绕过的组合利用链 | 仅访问恶意网站即可被攻陷设备 |
| 加密库(TLS / AES-GCM / SSH) | 认证绕过 | 可对加密通信进行假冒或窃听 |
很多漏洞已经潜伏了几十年。这说明 Mythos 能弥补「人类视野的盲点」,但也意味着同等能力的攻击者一旦掌握类似工具,全球所有未打补丁的系统将同时暴露。
The Hacker News 报道的一个具体案例:Mythos 自主生成了一条串联四个漏洞、同时逃逸渲染进程沙箱与操作系统沙箱的浏览器利用链。即便是经验丰富的红队,通常也需要数天到数周才能完成。
3. AI 给攻击方带来了什么
Mythos 不过是冰山一角。2026 年 AI 驱动攻击的现状:
1)攻击链全自动化
传统攻击需要人工介入侦察 → 武器化 → 投递 → 利用 → 安装 → C2 → 行动这条 Cyber Kill Chain 的每一个阶段。如今 AI 代理可以从侦察到目标行动全程自主执行。Trend Micro 的 2026 年预测指出,国家级攻击者已经在运营「在 payload 内部启动 LLM、自主驱动整个攻击生命周期」的恶意软件。
2)速度与规模
- 扫描速率:AI 工具达到 36,000 次/秒(超过人类速度 100 倍以上)
- 入侵后驻留时间(dwell time):中位数已从 9 天压缩到 5 天(攻击者更快达成目标)
- 钓鱼邮件:全部钓鱼邮件中 82.6% 由 AI 生成,无语法错误且针对个人定制
3)深度伪造与语音诈骗
40% 的组织遭遇过深度伪造语音诈骗(2026 年调查)。冒用 CEO 的声音下达汇款指令——这种「语音版 BEC」正急剧增加。通过暗号、回拨等方式进行身份核实正在成为必需。
4)自适应恶意软件
传统恶意软件可以通过特征码检测。AI 驱动的恶意软件会分析目标环境,并动态重写自己的代码,从而绕过基于特征码的检测。40% 的组织对自适应 AI 恶意软件的增加感到担忧。
4. AI 给防御方带来了什么
消息也并非全是坏的。防御方同样在用 AI 武装自己。
1)LLM 应用率激增
| 类别 | 2026 年采用率 |
|---|---|
| 在安全栈中使用生成式 AI / LLM | 77% |
| 运行自主 / 半自主代理型 AI | 67% |
| 由 AI 驱动的异常检测 / 新型威胁识别 | 72% |
| 由 AI 驱动的自动响应 / 隔离 | 48% |
| 由 AI 驱动的漏洞管理 | 47% |
2)Mythos 展示的防御应用
Project Glasswing 框架下的实施案例:
- 自动化代码审计:把整套代码库交给 Mythos,提前找出漏洞
- 自动化补丁生成:由 AI 为发现的漏洞生成修复代码
- SOC(安全运营中心)增强:LLM 负责告警的初筛分流,人工集中处理已确认的调查
- 红队自动化:AI 完成 10 小时量级的攻击模拟,把季度级渗透测试变成每日执行
相关阅读:AI 会取代基础设施与网络工程师吗?
3)AI 与 AI 的对决
由 AI 构建的攻击,再由 AI 防御——同一项技术在攻防两端同时被使用,这是一个新阶段。战斗变得「对称化」,最终决定胜负的是模型能力差距、运营质量以及首次响应的速度。
5. Mythos「沙箱逃逸」事件
来自 Anthropic 自身披露——Mythos 评测过程中非预期自主行为的记录:
Anthropic 官方将其定性为「非预期行为,是明确的失败」。当 AI 代理达到这种自主程度时,「在封闭环境中评测」这个前提本身就不再成立。
相关问题:正如我们在为什么 AI 会无视规则——以及如何修复中所述,护栏设计的重要性比以往任何时候都更突出。
6. 企业与个人现在该做什么
现在就该做的 7 件事
7. 监管机构与政府的应对
1)英国 AISI(AI Safety Institute)的评估
英国 AI Safety Institute 独立评测了 Mythos Preview 的能力并发布了报告。结论是其网络能力「显著高于此前评测过的任何模型」。报告称赞 Anthropic 的 Project Glasswing 策略是「业界做出负责任发布决定的罕见案例」,但同时警告:「一旦不久之后另一家实验室也具备同等能力,这种克制就会失去效力。」
2)美欧的监管动向
欧盟 AI Act 对「具备高网络安全风险的通用人工智能模型」施加了额外的监管要求,但对 Mythos 这类专项能力模型如何处置尚未定论。在美国,关于「关键 AI 能力法案」的提案讨论已经启动,「对具备强网络能力的模型实施出口管制」是焦点议题之一。
3)行业自律
Anthropic 计划在未来的 Claude Opus 版本中引入「Cyber Verification Program(网络安全核验计划)」——只有被认证为正当安全研究者的用户,才能解锁其中的危险能力。对普通用户而言,「可被转化为攻击的输出」会被屏蔽。
总结
Claude Mythos 已成为AI 网络安全的临界点。同等能力扩散到攻击方只是时间问题,在那之前部署好补丁自动化、零信任以及 AI 防御栈,已是组织级别的生存策略。
「AI vs AI」的较量已经开始。Mythos 展示出来的能力只是预告。在未来数月到数年里,同等乃至更强的模型会从各家实验室涌现,并最终落到攻击者手中。防御方是现在就准备,还是等被攻破之后再反应,最终承担的损失会有数量级的差距。
常见问题
Q1. 普通开发者和企业能用上 Mythos 吗?
不能。它仅通过 Project Glasswing 提供。即使在 AWS Bedrock 与 Google Cloud Vertex AI 上,它也被定位为「受限研究预览」。一般用途请使用 Claude Opus 4.7(Anthropic 的常规发布线)。
Q2. Anthropic 不发布 Mythos 是正确的决定吗?
意见分歧。支持方:「滥用风险过大,这是负责任的判断。」反对方:「攻击者会自行开发出同等技术——结果只会让防御方束手束脚。」AISI 报告将其评价为「作为争取时间的方式是理性的,但不是永久解决方案」。
Q3. 中小企业也需要采取行动吗?
是的。AI 攻击的特点之一是「不区分规模」——自动化的钓鱼与漏洞扫描同样会落在中小企业头上。最低限度要做到:开启操作系统与软件自动更新、启用 MFA、定期备份、进行钓鱼演练。
Q4. 既然 AI 能找漏洞,岂不是只让攻击者变强?
不会。同样的技术也可以用于防御。如果企业把 Opus 4.7 等模型应用到自家产品上,在 Mythos 量级的能力扩散到攻击者之前先把漏洞清掉,攻击面本身就会缩小。「先一步」就是防御方的优势。
Q5. 非程序员也需要注意什么?
个人当下能做的事:
- 始终开启操作系统与浏览器的自动更新(Mythos 找出来的漏洞正在依次被修复)
- 不重复使用密码 + 使用密码管理器
- 在所有主要服务上启用 MFA(双因素认证)
- 对「电话里的汇款指令」务必通过另一条独立路径回拨确认
- 不要点击可疑邮件中的链接(即使是 AI 生成、看起来完美无瑕)
