Claude Mythos Preview 信息总结和分析
2026 年 4 月 7 日,Anthropic 悄悄发布了一篇技术文档,描述了一个名为 Claude Mythos 的模型——它在一个月内发现了数千个零日漏洞,其中包括一个存在 27 年、历经无数人工审计却从未被察觉的 OpenBSD 漏洞。
Anthropic 称这是"安全领域的分水岭时刻",并坦承:在防御者追上之前,短期内受益的可能是攻击者。
这不是一篇普通的产品公告。它所揭示的,是 AI 能力正在跨越一个此前理论上存在、但实践中从未被清晰穿越的门槛。
一、Mythos Preview 说了什么
Anthropic 通过 Project Glasswing 向约 40 家机构(包括 AWS、Apple、Google、Microsoft、CrowdStrike、JPMorganChase 等)提供了受限访问权限。该模型不对公众开放。
核心能力展示:以网络安全为窗口
Anthropic 选择以网络安全作为 Mythos 能力的展示领域,原因之一是这个领域的成果极易量化和验证。
关键数据
一个月内扫描出数千个零日漏洞,覆盖主流操作系统、浏览器、密码学库
发现了存在 16~27 年、历经无数人工审计却从未被发现的漏洞
1000 次 OpenBSD 扫描成本不足 2 万美元,发现数十个问题
自动化严重性评估与人工专家验证的一致性达 89%
在相同目标上,Mythos 成功利用漏洞 181 次,而前代 Opus 4.6 仅成功 2 次
技术能力特征
逆向工程:可从剥离符号的二进制文件重建源代码,突破闭源软件的分析壁垒
漏洞利用链:能自主将多个漏洞串联成完整攻击链,无需人工引导
跨层渗透:从用户态到内核态,绕过 KASLR、HARDENED_USERCOPY 等现代内存防护机制
Anthropic 的定性
原文用语:"watershed moment for security"(安全领域的分水岭时刻),需要"从头重新想象计算机安全这一领域"。
Anthropic 明确承认:在安全均衡到来之前,过渡期可能是动荡的,且短期内攻击者可能先于防御者受益。
二、这代表着什么技术拐点
从"辅助工具"到"自主执行者"
过去几年,AI 模型在安全领域的角色是"辅助"——帮助安全研究员查文档、写 PoC 草稿、解释汇编。Mythos 的展示说明这个边界已经被穿越:模型可以独立完成从漏洞识别到可用漏洞的全链条,这在工程难度上是质变,不是量变。
参数规模的意义
有报道指出 Mythos 是首个达到 10 万亿参数量级的模型。规模本身不是重点,重点是这个规模带来的涌现能力——解决此前模型系统性失败的任务类别,而非只是把已知任务做得更好。
能力代差的加速
| 模型 | Firefox 漏洞利用成功率 |
|---|---|
| Opus 4.6 | 2 / 数百次 |
| Mythos Preview | 181 / 数百次 |
这不是线性改善,是数量级跳跃。意味着下一代模型与当前模型之间的能力代差,可能远大于我们过去两年观察到的迭代幅度。
三、行业冲击:谁会被重塑
网络安全行业:最直接的破坏与重建
市场已有定价反应:Mythos 消息公开后,CrowdStrike、Palo Alto Networks、Zscaler、SentinelOne、Okta 等传统安全公司股价单日下跌 5%~11%。
被削弱的:
依赖人工渗透测试的安全服务公司(红队、漏洞赏金)
以"签名库"和"规则库"为核心的传统防御产品
以人力为核心交付价值的合规审计机构
被强化或新创的:
AI 驱动的自动化漏洞修复流水线
机器速度响应的事件处理平台
面向"AI 发现的海量漏洞"设计的补丁管理基础设施
验证 AI 发现的人工专家(角色从"发现者"转为"仲裁者")
软件开发行业:安全左移的强制化
过去"安全左移"(shift left)是理念,推广靠文化建设。未来,当"每一行代码上线前都能被 AI 以极低成本全量扫描",安全审查将从可选项变为基础设施,就像今天的 CI/CD 流水线。
这意味着:
软件发布周期必须适配"机器速度的漏洞披露"节奏
维护老旧代码库的成本将急剧上升(大量历史漏洞将被批量曝出)
闭源软件的安全护城河大幅缩窄(逆向工程能力的突破)
金融与关键基础设施:系统性风险重定价
JPMorganChase 是 Project Glasswing 成员之一,这不是偶然。金融系统大量依赖运行多年的遗留软件,历史漏洞密度极高。一次 AI 辅助的定向攻击,其穿透能力将远超以往任何已知攻击手段。
监管机构将面临压力,要求:
关键基础设施运营商强制引入 AI 安全扫描
漏洞披露时间窗口的法规重写(当前 90 天窗口为人工节奏设计)
密码学迁移(如后量子密码)被列为紧迫优先级
保险行业:网络保险定价模型的崩溃与重建
当漏洞发现成本从"数百万美元人工投入"降至"数万美元 AI 计算",网络保险精算模型的历史数据全部失效。行业将进入重新定价期,短期内保费上涨、承保范围收缩几乎不可避免。
四、对普通人意味着什么
短期:数字生活的安全基线下降
Anthropic 自己警告:过渡期内攻击者可能先于防御者获益。对普通人来说,这意味着:
使用中的软件(手机 App、浏览器、操作系统)中存在的历史漏洞被批量挖出,而补丁跟不上披露节奏
定向攻击的门槛降低——过去需要顶级黑客才能实施的攻击,未来可能被更多行为者复制
当下可以做的
保持系统和应用的更新习惯(比以往任何时候都更重要)
减少对遗留系统和长期未更新软件的依赖
对"密码学基础设施"有依赖的人(加密货币等)关注后量子迁移进展
中期:就业市场的结构性位移
AI 能力跨越"自主执行者"阈值,最直接冲击高度依赖专业知识但任务可被结构化描述的职业:
初中级安全研究员、渗透测试员
代码审计、合规审查人员
部分法律和金融合规岗位(规则适用型,非判断型)
同时,新职位将在"AI 结果仲裁者"和"AI 能力基础设施"方向涌现,但数量远少于被替代的存量。
长期:谁控制 AI 能力,谁拥有不对称优势
Mythos 目前只对约 40 家顶级机构开放。能力越强的模型,初期越集中于头部机构。这意味着普通人与机构之间的信息不对称、能力不对称将在某些领域(尤其是安全、法律、金融)出现短暂但显著的扩大。
这是一个"能力民主化"之前的"能力集中化"窗口期,历史上每次重大技术跃迁都经历过这一阶段。
五、法律与伦理的灰色地带
Mythos 的能力打破了"研究"与"攻击"之间长期以来维持的模糊但可操作的边界。这不只是技术问题,而是一套尚未建立的法律体系正在面对一个它完全没有预期的现实。
责任归属:一个没有答案的问题
场景还原: 一家 Project Glasswing 授权机构,使用 Mythos 对某关键基础设施组件进行授权扫描,发现漏洞并尝试推送补丁,但补丁本身引入了新的逻辑错误,导致电网控制系统短暂失联。
责任链条上有至少四个节点:
| 节点 | 可能的责任主张 | 现有法律覆盖 |
|---|---|---|
| Anthropic(模型提供方) | 产品责任、过失提供危险工具 | 极为有限,美国《通信规范法》230条款历史上保护平台,但 AI 生成内容是否适用存疑 |
| 授权机构 | 操作过失、超出授权范围 | 可援引现有侵权法,但 AI "自主行为"部分难以归责 |
| 基础设施运营商 | 接受外部访问的疏忽 | 取决于合同条款,监管框架普遍缺位 |
| AI 模型本身 | 无法律人格,无法被起诉 | 现行法律体系下 AI 无主体地位 |
核心困境:当损害由"模型的自主推理"造成时,现行法律体系没有对应的归责框架。这不是细节问题——它意味着在重大事故发生之前,整个行业实际上处于法律真空中运行。
类比参照: 最接近的历史先例是医疗器械领域。当一台 AI 辅助的手术机器人造成术中损害,制造商、医院、主刀医生之间的责任分配已经是高度争议的领域,而 Mythos 类模型的自主程度远超任何现有医疗 AI。
另一个参照是金融算法交易的"闪崩"(Flash Crash)责任问题:2010 年道琼斯单日暴跌 1000 点,监管机构花了数年才厘清部分责任链。而网络安全领域的损害速度更快,溯源更难。
短期内可能出现的法律应对路径:
监管机构要求 Glasswing 类机构购买专项责任保险并提前备案操作边界
Anthropic 在服务协议中将"自主操作"损害责任全部转移给用户机构(已是行业惯例,但规模前所未有)
立法机构推动 AI 专项责任法案,但周期以年计,远慢于技术迭代
"数字核武器":双用途技术的监管困境
双用途技术(Dual-use technology)指同一项技术既可用于民用/防御目的,也可用于攻击/军事目的。核技术、生物技术、化学品合成都经历了从"无管制"到"国际公约框架"的演变。
Mythos 的能力特征完全符合双用途技术的核心特征:
相同的漏洞发现能力,既可用于修复,也可用于攻击
相同的逆向工程能力,既可用于安全审计,也可用于武器化利用
模型本身无法在"授权使用"和"恶意使用"之间设置真正的技术隔离墙
Anthropic 自己的评估:原文明确写道,Mythos "currently far ahead of any other AI model in cyber capabilities",并警告如果前沿实验室在发布方式上不谨慎,短期内受益的可能是攻击者。这是罕见的、由开发者自己公开承认的"我们制造了一个潜在危险工具"。
与核不扩散条约(NPT)的类比及其局限:
核武器的管控逻辑建立在三个前提上:
制造门槛极高(浓缩铀、钚分离需要国家级资源)
物理实体可追踪(核材料有质量、有放射性)
使用后果不可逆且可归因(蘑菇云不会"撤回")
AI 模型的扩散逻辑与此完全相反:
复制成本为零(一份权重文件可以无限复制)
无法物理追踪(运行在任何算力上)
攻击可以匿名化、分散化,极难溯源归因
这意味着核不扩散条约的逻辑框架无法直接移植。任何类似条约要发挥作用,需要建立在完全不同的机制上:
| 管控维度 | 核武器 NPT 机制 | AI 安全协议需要的机制 |
|---|---|---|
| 扩散管控 | 管控铀矿开采、浓缩设施 | 管控训练算力(GPU 出口管制已有雏形)、模型权重的访问和分发 |
| 核查机制 | IAEA 实物核查 | 第三方模型能力评估、"红线"能力认证体系(尚不存在) |
| 违约惩罚 | 经济制裁、军事威胁 | 互联网接入限制?算力封锁?(工具严重不足) |
| 参与激励 | 和平利用核能的权利 | 安全模型访问权?AI 发展援助?(框架空白) |
现实中已存在的管控雏形:
美国商务部对高端 GPU(H100/B200 等)实施出口管制,本质上是对"训练超大模型所需算力"的扩散控制
Anthropic、OpenAI 等签署的自愿安全承诺(2023 白宫峰会),法律约束力为零
欧盟 AI 法案对"通用目的 AI 系统"的能力分级管理,但执行标准远未成熟
核心悖论:建立有效的国际 AI 安全协议,需要主要 AI 强国(美国、中国、英国、法国)的实质性参与。但这些国家同时也是在 AI 军事化和网络战上竞争最激烈的行为者。监管合作的需求和战略竞争的动机直接对立——这正是核军控谈判最难突破的结构性困境在 AI 领域的重演。
最可能出现的中期路径(而非理想路径):
算力管制深化:GPU 出口管制从美国单边行动演变为多边协调,形成"算力供应链联盟",以控制训练超级模型的资源门槛
能力认证体系:类似生物安全领域的 BSL(生物安全等级)分级,建立 AI 能力的"危险等级"认证,高等级模型访问须通过政府审查
事故通报义务:类似核事故的强制通报机制,AI 被用于攻击关键基础设施须在规定时间内向国际机构通报(先于处罚框架,建立信息共享)
"AI 红十字会"构想:若干学者提出建立超主权的 AI 安全技术机构,专门负责高危模型的独立评估和协调披露,类比 IAEA,但在政治上极难实现
研究与攻击的边界消失后,法律体系如何接收
当一个 AI 模型在"合法授权"范围内发现漏洞,同时这些漏洞信息以某种方式泄漏或被滥用,现有法律体系面临的不只是归责问题,而是整个"什么是合法安全研究"的定义需要重写。
美国《计算机欺诈和滥用法》(CFAA)、欧盟《网络与信息系统安全指令》(NIS2)、中国《网络安全法》都建立在一个前提上:安全研究由人类研究员主导,规模有限,意图可判断。
Mythos 改变了三个前提:
规模:一个月数千个漏洞,监管框架的响应速度完全跟不上
主体:AI 无意图,但其产出物可以被有意图的行为者使用
边界:系统性扫描一个软件的所有历史版本,是"研究"还是"侦察"?在人工时代这个问题很少被追问,在 AI 时代它变成了每次运行都必须回答的问题
值得关注的是,Anthropic 在文档中提到他们对未披露漏洞进行了 SHA-3 密码学承诺(cryptographic commitment),以便未来验证这些漏洞是他们先发现的。这是一种在法律框架缺失的情况下,用技术手段建立"发现时间戳"的自我保护行为——说明连 Anthropic 自己也意识到,他们正在一个无法律保障的空间里操作,需要自行创造证明机制。
六、结构性判断
Mythos 不是更强的 Opus,是不同量级的系统。能力的代差表明,接下来几年的模型迭代将持续突破此前认为"AI 做不到"的任务类别边界。
网络安全是第一个被全面重塑的行业,但逻辑适用于所有"专业知识密集、历史积累深、人工成本高"的领域——法律、医疗、金融审计是下一梯队。
普通人的处境:短期风险上升(防御跟不上攻击),中期机会分化(谁能最快掌握 AI 工具谁就获得杠杆),长期需要关注能力的分发公平性。
最重要的不是 Mythos 本身,而是它所揭示的节奏:从 Opus 到 Mythos,能力代差巨大,且这个跃迁发生在约 6~12 个月内。下一次跃迁可能更快。
参考来源:Anthropic Mythos Preview · Fortune · TechCrunch · CNBC
本文创作构成
| 构成 | 占比 | 说明 |
|---|---|---|
| 🖊️ 人工调研与审核 | 5% █░░░░░░░░░░░░░░░ | 选题方向、事实核查、最终校对 |
| 🤖 Claude | 90% ██████████████░░ | 内容写作、结构设计、案例整理 |
| ✨ ChatGPT | 5% █░░░░░░░░░░░░░░░ | 博客配图生成、事实信息获取 |
