watchTowr的CEO Ben Harris最近的话挺扎心:
“人们用公开模型加上聪明的编排,就能复现Mythos挖出的那些漏洞——结果非常、非常接近。”
这话是5月8日CNBC那篇报道里挑明讲的。前几个礼拜全球银行、监管机构、科技巨头围着Anthropic的Mythos慌成一团,Harris直接用了一个词形容他听到的反应:hysteria——歇斯底里。
先复盘下Mythos为啥让人慌
Anthropic 4月披露的Claude Mythos Preview,是个对外只给了40家企业(苹果、亚马逊、JPMorgan、Palo Alto Networks在列)的非公开前沿模型。它在Firefox上挖出271个新漏洞,里面最老的一个躲了27年。Anthropic自己测的数据:Mythos在Firefox漏洞集上做出可用exploit 181次,在另外29个上拿到了寄存器控制权。
这套数据传开之后的两周,欧洲央行、亚洲监管机构、美国白宫接连开会。Powell和Bessent紧急召集华尔街,FBI内部备忘录流出,特朗普科学顾问坐不住。
然后安全圈的真专家们开始说话了。
“旧模型早就能干”
Harris的核心论点是:Mythos把端到端自动化了,这是真的;但”AI能挖出生产代码里的0day”这件事本身,去年就已经做到了。
证据链很硬:
- Anthropic自己2月发的blog post就明确说过,Claude Opus 4.6(一个对所有付费用户都开放的模型)在开源软件里挖出了500+个”高危”漏洞
- 学术圈和红队圈在2025年就发了多篇论文,用GPT-4o、Claude 3.7配合代码静态分析框架,能做到自动找0day
- 国家级APT组织和成熟的勒索集团早就在内部跑这种工作流,”只是没拿出来发PR稿”
Harris说,他过去这几周和银行、保险公司、监管机构开的会,几乎全是同一个剧本:客户问”我们要不要紧急封禁Anthropic”、”我们的代码库是不是已经被扫过了”。他的回答都是:你们的对手三个月前就在做这事,你们封禁Anthropic不影响别人扫你。
那Mythos的”突破”到底在哪
把炒作剥掉之后,Mythos真正不同的地方有两个:
第一,速度和门槛。 之前用Opus 4.6挖一个0day,要熟悉漏洞利用的安全工程师配合脚本反复迭代,一个洞要几天到几周。Mythos直接让没怎么做过exploit开发的初级工程师,一晚上从发现漏洞跑到生成可用exploit。这个降本量级很大。
第二,规模。 Opus 4.6是定向挖,Mythos是大规模扫,几百个目标并行。这两个能力曲线叠在一起,意味着攻防节奏变了——以前防御方有几个月窗口给某个漏洞发补丁,现在可能只有几天甚至几小时。
但这两个变化不是”突变”,是2025年那条曲线的延续。
Anthropic为啥要把音量调那么大
Anthropic的官方姿态是”负责任地警告”。Mythos只给40家公司,配套搞了Project Glasswing联盟(AWS、Apple、Microsoft、Google、CrowdStrike、Palo Alto Networks),把模型放给防御方先用。
但安全圈不少人觉得这套叙事里有水分。一种观点:Anthropic想把”AI网络武器”这个议题立成它的招牌,给监管层和华尔街一个”必须找我们买”的故事。另一种观点:Anthropic想把竞争对手——尤其是开源模型和DeepSeek这种被指控”数据来路不明”的厂商——拽进同一套强监管框架里。
Harris没明说,但他选的词很有意思。他没说Anthropic在炒作,他说反应是hysteria——反应的人有问题,不是发模型的人。
真正的信号
这场风波最值得记的不是Mythos本身,是它把一个事实推到台面上:有AI能挖0day这件事,已经是行业默认假设了,不是”未来可能”,是”现在就在发生”。
那接下来吃饭的逻辑会变:
- 漏洞披露周期被压缩。CISA和厂商必须重新设计响应SLA
- 软件供应商再敢说”反正没人会盯我这一行老代码”,已经站不住脚
- 红队工具市场从”卖人力”转向”卖模型 + 流程编排”
- 安全保险定价模型要重写——因为攻击成本曲线被AI拍平了
至于Anthropic接下来怎么把Mythos的故事讲下去——盯第三季度的财报会。如果”AI网络安全”被列成新业务线、收入披露往这边倾斜,那这场hysteria背后的商业意图就明牌了。
参考来源:Anthropic's Mythos set off a cybersecurity 'hysteria.' Experts say the threat was already here(CNBC);Our evaluation of Claude Mythos Preview's cyber capabilities(UK AISI)