5 月初 Anthropic 把 Mythos 这个能自主找漏洞、能跑全套网络入侵的模型扔出来,整个安全圈第一反应是「行业要被颠覆了」。
两周过去,账算出来。结果是反的。
几张表先放一下
截至 5 月 21 日,三只主流网络安全 ETF 的本月表现:
| ETF | 5 月以来涨幅 | 历史定位 |
|---|---|---|
| HACK(Amplify Cybersecurity) | +17.27% | 2014 年 11 月成立以来最大单月 |
| BUG(Global X Cybersecurity) | +26.14% | 2019 年 10 月成立以来最大单月 |
| CIBR(First Trust NASDAQ) | 同步参与 | — |
个股层面更夸张:
- Fortinet(FTNT):+54.19%
- CrowdStrike(CRWD):+45.85%
- Akamai(AKAM):+39.40%
- Palo Alto Networks(PANW):+37.55%
- Zscaler(ZS):+33.49%
- SailPoint(SAIL):+31.17%
BUG 持仓里 12 支股票本月涨幅超过 20%。
为什么剧本反了
Mythos 发布前的市场叙事是这样的:漏洞发现是安全公司的护城河,AI 把这件事做到工业化,护城河就被填了。
听起来很合理。问题是这个推论漏掉了下半句——防御方也拿到了同一套武器。
Anthropic 把 Mythos 早期权限给了四家美国公司:Apple、Amazon、JPMorgan Chase、Palo Alto Networks。最后一家把 Mythos 接进自家产品扫漏洞流程,一个月挖出 75 个洞,是平时的 7 倍。
CrowdStrike 也在做类似事。安全圈的共识是:能用 Mythos 的人不只你,攻击者迟早会有自己的版本。Mistral 已经在和欧洲银行谈替代品,OpenAI 也把 GPT-5.5-Cyber 给了 BBVA 之类的大行。提前把工具消化掉,等于守住未来 3 到 5 个月的时间差。
企业那边的反应更直接——加预算。
加预算这件事被低估了
UK AI Security Institute 的测试结果是这样写的:
Mythos 能自主完成企业内网完整接管,成功率 30%;人类专家干这事要 20 小时。
对 CIO 来说,这数字不是「我要不要把安全部门外包给 AI」,而是「明天敌人就用这东西,我现在必须加人加钱」。
5 月所有上市安全公司财报会上,CEO 那一段说辞高度一致:客户预算扩张、续费周期拉长、套餐升级率上来了。
Benzinga 那篇分析文章里说得直接:
「AI gets better at finding vulnerabilities. Vulnerability discovery was the moat.」
护城河确实塌了。但客户没省钱,反而加大投入——这是市场没想到的下半句。
故事还没讲完
短期是双赢——AI 公司卖工具、安全公司卖防御。
中期有两个变量没释放:
第一,Mythos 现在只给 4 家公司用。一旦铺到 50 家、500 家级别,攻击端的成本曲线会先压下来。那时安全股是不是还能涨,不一定。
第二,现在的高估值建立在「客户害怕」上。如果 6 个月后真发生一两起 Mythos 级别的大规模入侵,估值是再涨一倍,还是塌——华尔街会用钱投票。
至少现在,市场给的答案是:Mythos 不是网络安全的死神,是它的兴奋剂。
参考来源:Claude Mythos Was Supposed To Kill Cyber Stocks: Now Record High - Akamai Technologies, Global X Cybersecurity ETF (Benzinga);Anthropic's Mythos set off a cybersecurity 'hysteria.' Experts say the threat was already here (CNBC);UK AI Security Institute Mythos Capability Assessment