TL;DR:
Anthropic的“玻璃翼计划”首月战报震惊全球安全圈。Claude Mythos这个AI猛男,30天内在全球50多家核心软件里挖出10000多个致命漏洞,甚至成功拦截一笔150万美元的电诈。结果,漏洞是找到了,但人类程序员修不完了,纷纷求饶:“求求你别挖了!” 这波啊,是AI把安全圈的桌子给掀了。
互联网“裸奔”时代,被一个AI终结了?
家人们,谁懂啊?就在所有人还在琢磨AI怎么帮自己写周报、做PPT的时候,Anthropic偷偷搞了个大新闻,直接把全球科技圈和安全圈炸了个底朝天。
他们搞了个“玻璃翼计划”(Project Glasswing),派出了旗下最能打的下一代大模型——Claude Mythos Preview。这哥们儿干啥去了?没去写诗,没去画画,而是去当“黑客”了,而且专挑最硬的骨头啃。
结果呢?一个月,仅仅一个月,它就在全球约50家顶级科技公司和关键基础设施里,翻出了超过10,000个高危或严重级别的软件漏洞。[^1] 这个数字有多大?这么说吧,以前一个顶级白帽黑客想找到一个“零日漏洞”,可能得熬夜秃头几个月。现在Mythos告诉你:大人,时代变了。
更离谱的是,这货不仅能找,还能“一条龙”服务。它自己就能构建完整的攻击链,把漏洞利用给你演示得明明白白。在某家合作银行,它甚至实时拦截了一笔150万美元的电信诈骗,硬是从黑客手里把钱抢了回来。
一时间,全球安全圈集体破防。有安全专家在X(原推特)上绝望发帖:“互联网的底裤都被AI扒光了……我们可能要凉了!”
三十年“老阴虱”被揪出,Mythos到底多逆天?
别急,咱们来看看这份“闪瞎眼”的战报,你就知道这AI有多猛了。
- Cloudflare: 在核心路径系统中,Mythos一口气挖出2000个漏洞,其中400个是高危。[^1] Cloudflare的安全团队还发现,这AI的误报率比人类顶级测试员还低。这就好比一个实习生干活比你快、比你好,还不要工资,你说气不气人?
- Mozilla: 在最新的Firefox 150测试中,Mythos直接修复了271个高危漏洞。这个数字是上一版本用Opus 4.6模型发现漏洞数的10倍以上。[^1] Firefox团队估计都懵了:我们之前用的是啥“假”测试?
- OpenBSD: 这个以安全性著称的操作系统,藏了27年的陈年老Bug,愣是被Mythos给挖了出来,而且不需要人类插手,自己就写好了漏洞利用代码。[^1] 27年啊,这Bug的“工龄”比很多读者年龄都大,堪称代码界的“老阴虱”。
这还没完。在开源密码学库wolfSSL的扫描中,Mythos发现了一个极其隐蔽的逻辑漏洞,并自己动手写出了一套攻击代码。利用这套代码,黑客可以随意伪造数字证书,造出以假乱真的银行网站。[^1] 而全世界有数十亿台设备(物联网、路由器、智能汽车等)都在依赖这个库。
如果不是Mythos提前发现并提交修复,这些设备一直都在“裸奔”,黑客想黑谁就黑谁。这波啊,AI是拉了全球一把。
史诗级大反转:人类程序员成了瓶颈
按理说,AI这么猛,发现了这么多漏洞,我们是不是要开香槟庆祝互联网从此变得安全了?
天真!
事情很快迎来了史诗级的反转。恐慌的源头从“AI会不会攻击我们”变成了“AI找漏洞太快,我们根本修不完!”
“网络安全的瓶颈不再是寻找漏洞。现在的瓶颈是:人类修复漏洞的速度,远远跟不上AI发现漏洞的速度。”[^1]
Anthropic的漏洞报告像雪片一样飞向各大开源社区。开源项目的维护者们,大多是业余用爱发电的“大神”,突然面对成千上万的漏洞报告,心态直接崩了。
有多位开源维护者发来“求饶”邮件:“别挖了!求求你们放慢速度!我们真的修不过来了!”[^1]
这画面太美我不敢看。AI像个不知疲倦的“卷王”,疯狂给人类同事派活;而人类同事看着堆积如山的工单,只想跪下来叫爸爸。
据统计,即使收到详细报告,人类程序员平均修复一个高危漏洞,依然需要整整两周。而Anthropic提交的1129个漏洞中,目前只有75个被成功打上补丁。[^1] 这产能缺口,得靠996007才能补上吧?
魔法打败魔法:Anthropic的“补刀”与“救场”
既然人类修不过来,那还能怎么办?Anthropic表示:既然bug是AI找到的,那补丁也让AI来写吧!
他们果断抛出“防御者工具包”方案,核心就是“用魔法打败魔法”:
- Claude Security上线:专为企业版客户打造的自动化神器。逻辑很简单:我帮你找bug,我顺便帮你把修复补丁写好。上线仅三周,企业客户就用它光速修复了超过2100个漏洞。[^1]
- 开源“抓BUG流水线”:Anthropic直接开源了一套工具,包括定制化指令(让AI专注干活)、自动化框架(让AI自动扫描和分拣漏洞)和威胁建模生成器(自动识别系统软肋)。[^1]
从此,网络安全的工作流可能就变成了:AI发现漏洞 → AI生成补丁 → 人类负责签个字,喊一句“干得漂亮”。
这,可能就是未来网络安全的终极形态。人类程序员终于可以放下“修理工”的扳手,去思考更有创造性的问题了。当然,如果你是个只会修bug的程序员,那你的“中年危机”可能会提前到来。
达摩克利斯之剑:这柄神兵,何时出鞘?
看到这里,你可能想问:Claude Mythos这么牛,我啥时候能用上?
Anthropic的态度非常谨慎,甚至有点“怂”。他们表示,一旦构建出“更强大、更高级别的安全护栏”,Mythos级模型必将全面推向公开发布。
现在还不能放出来,因为它实在太危险了。
Anthropic非常清楚,这玩意儿对于网络安全的颠覆是“代际级”的。如果今天就把Mythos的API公之于众,明天全球的黑客组织就能像批发白菜一样,批量生产出成千上万个致命攻击工具。普通人的电脑、医院的系统、电网的控制中枢,将面临一场前所未有的浩劫。[^2]
这柄名为“Mythos”的剑,既是守护世界的“火眼金睛”,也是能摧毁一切的“凶器”。[^2] 它悬在所有人的头顶,考验着整个科技界的智慧与底线。
Anthropic给出的建议简单粗暴:别攒着一个月发一次更新了,强制用户升级!强化多因素认证! [^1] 因为,AI的“寒武纪大爆发”已经开始,留给人类准备的时间,真的不多了。
一个月,挖出上万漏洞,挽救数十亿设备,顺便逼疯一群程序员。这仅仅是Claude Mythos的一次“小试牛刀”。
未来已来,只是尚未平均分布。而我们,正在见证历史。