5月18日,Anthropic改變了政策——之前使用Mythos發現的漏洞,合作夥伴只能內部處理;現在可以互通有無,還可以告知監管機構、媒體甚至公開發布。
這項改變雖然看似微小,但對Mythos整個計畫的邏輯是一次重要修正。
原本的政策是封閉的
Mythos於4月7日發布——是Anthropic利用Claude訓練出的專門用於攻擊發現的模型,能掃描常見軟體,找出尚未被發現的漏洞。
它並未直接公開銷售,而是透過Project Glasswing這個受控計畫運作:選定40家公司參與,包括Amazon、Microsoft、Nvidia、Apple等巨頭。設計初衷是控制擴散——一個能找出漏洞的AI若被濫用,反過來會成為攻擊工具,因此Anthropic希望嚴格限制使用範圍。
原本的協議條款中,合作夥伴掃出的漏洞只能內部處理。這就出現了一個尷尬情況:
Palo Alto Networks日前用Mythos掃描自家產品,一個月挖出75個漏洞,是平時正常速度的7倍。
如果Palo Alto的發現無法告知他人,等於整個產業的安全水位只在Glasswing內部提升。其他公司可能使用著同樣有漏洞的產品,卻完全不知道問題存在。
現在改變了,能分享給誰
根據Anthropic發言人對路透社的說法:
「我們全力支持合作夥伴彼此分享發現,也支持與Glasswing以外的公司分享,以便進行漏洞分類與處理。」
合作夥伴現在可以將Mythos發現的漏洞資訊分享給:
- Glasswing內部其他成員
- Glasswing以外的公司(即受影響的廠商)
- 產業組織
- 監管機構與政府
- 開源軟體維護者
- 媒體
- 公眾
前提是符合「負責任揭露」規範——簡單說就是給廠商一個修復窗口期,不能直接公開。
為什麼現在改變
這並非Anthropic主動想到的,而是被推動的。合作夥伴自己提出要求——他們擔心如果只有自己知道某個漏洞,反而會成為被針對的目標。
舉例來說,假設A公司用Mythos掃出某款主流資料庫的零時差漏洞,按照舊規則A只能默默修補自己的部署。但攻擊者只要看到A最近改了什麼修補程式,就能反推出漏洞在哪裡——然後A以外同樣使用該資料庫的公司,瞬間暴露在攻擊之下。
因此,這次政策鬆綁,本質上是把「防禦資訊」從私有商品變回公共物品。安全圈一直以來的共識就是如此:漏洞揭露要早、要廣、要協同。
還有一件事:監管機構也主動找上門
根據PYMNTS和BusinessToday的報導,另一個細節是Anthropic同意向金融穩定理事會(FSB)進行專門簡報,介紹Mythos的能力與發現。
背景是:4至5月Mythos發布後,央行總裁、鮑爾、貝森特都對這個工具感到擔憂(先前已報導數輪),亞洲和歐洲的金融監管機構也想測試但無法取得。現在Anthropic等於主動開了一道溝通管道。
這一步意味著什麼
把時間線拉長來看:
- 4月7日:Mythos發布,封閉測試
- 4至5月:Glasswing成員陸續揭露發現,央行感到震驚
- 5月18日:政策逆轉,發現可以共享
短短40天,Anthropic從「嚴控擴散」走到「鼓勵分享」——這中間最關鍵的是,合作夥伴用實際數據證明了Mythos的攻擊發現能力是結構性領先,而非偶然。
下一步要看一件事:Glasswing是否會擴員。如果Anthropic把規模從40家放開到100家、200家,那麼這個計畫就從一個「展示用的精品試驗場」變成「產業基礎設施」了。
一個過去幾年沒人想過的問題,現在被Mythos逼到了所有大公司桌面上:如果你的安全團隊不用AI,對手用了,你怎麼辦?
參考來源:Anthropic to let partners share Mythos cybersecurity findings with others(Reuters via Investing.com / KFGO / CGTN);Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings(PYMNTS);Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned(BusinessToday);CocoLoop、Anthropic's Mythos Feature Enhances Cyber Threat Sharing(DevDiscourse)