新智元报道

【新智元导读】A厂的玻璃翼计划首战告捷，Mythos 30天内就挖出1万个致命漏洞，甚至拦截了150万美元电诈！面对雪片式的报告，人类程序员也崩溃求饶了：「求别挖了，根本修不完啊！」

就在刚刚，Anthropic又发布了一条震撼全球科技圈与安全圈的消息。

「玻璃翼计划」的首月战报，正式公布了！

在这场秘密行动中，Anthropic首次动用了下一代顶级大模型——Claude Mythos Preview。

在短短30天内，它联合了全球约50家网络巨头和关键基础设施软件开发方，一口气揪出了超过10,000个高危或严重级别的软件漏洞！

更恐怖的是，它不仅能找漏洞，还能「端到端」自动构建攻击链。

甚至在某家合作银行的真实业务中，成功拦截了一笔150万美元的电诈！

一时间，整个安全圈彻底震了。

有安全专家甚至在X上绝望惊呼：「互联网底座被AI翻了个底朝天……我们可能真的要凉了！」

疯狂的30天

全球科技巨头亲身体验，Mythos究竟多恐怖

2026年4月，Anthropic秘密启动了Project Glasswing。这个名字的寓意，是希望世界上最重要的闭源和开源软件变得透明且安全。

首批加入该计划的，是约50家关键基础设施软件开发方。

当他们拿到Claude Mythos Preview的测试权限后，短短一个月内，整个行业的三观都被震碎了。

来看看这份闪瞎眼的战报——

Cloudflare报告，在极度关键的核心路径系统中，Mythos一口气挖出了2000个漏洞！其中有400个属于高危或严重级别。

更离谱的是，Cloudflare的安全团队惊呼：这个AI的误报率，甚至比人类顶级安全测试员还要低。

在Mozilla最新的Firefox 150浏览器测试中，Mythos一口气修复了 271个高危漏洞。

这个数字是此前在Firefox 148版本中使用Opus 4.6所发现漏洞数的10倍以上！

OpenBSD报告的战绩简直让人毛骨悚然：Mythos在OpenBSD的代码库中，竟然揪出了隐藏了整整27年的陈年老Bug！

而且，模型甚至不需要人类插手，自己就构建出了完整的漏洞利用链。

英国AI安全研究所则给出了官方背书。他们确认，Mythos Preview是全球首个能够端到端完全攻克他们设置的双重网络靶场的AI模型。

Mythos在实战防御中，Mythos也大显神威。

在一家合作的银行中，一个黑客团伙已经成功入侵了客户的电子邮件，并使用了AI语音克隆技术拨打了欺诈电话。

就在这笔高达150万美元的电汇即将被转走的千钧一发之际，Mythos模型通过实时分析异常行为链路，瞬间识破了骗局并强行阻断了交易！

「我们这群人类安全专家，看起来就像是拿着长矛的原始人，看着一架F-22战斗机从头顶飞过。」 一位参与内测的安全研究员在X上感叹道。

全球数十亿台裸奔设备，被Mythos挽救了！

然而，Mythos也掀起一场产能危机。

在过去，网络安全界的核心瓶颈是发现漏洞。找到一个高危零日漏洞，顶尖白帽黑客可能要花上几个星期甚至几个月。

而现在，Claude Mythos把寻找漏洞的成本和时间直接打到了「无限趋近于零」。

Anthropic用它对全球1000多个支撑着互联网运转的核心开源项目进行了扫描。结果令人头皮发麻——

总共扫出 23,019 个漏洞，其中包含由Mythos评估的 6,202 个高危或严重漏洞！

为了确保不是AI在「胡言乱语」，Anthropic联合了6家全球顶尖的独立安全研究公司进行人工交叉复核。

结果证明：AI的真阳性（即漏洞真实存在）准确率高达90.6%！ 最终确认其中有1,094个是铁证如山的高危或严重漏洞。

开源漏洞仪表盘，显示所有严重程度的漏洞

这里必须提一个极其典型的案例——wolfSSL。

wolfSSL是一个极其著名的开源密码学库，全球有数十亿台设备（包括物联网设备、路由器、智能汽车等）都在使用它。

然而，在Mythos面前，wolfSSL的防线形同虚设。Mythos不仅发现了一个极其隐蔽的逻辑漏洞，它甚至自己动手写出了一套攻击代码！

利用这套代码，黑客可以随意伪造数字证书，造出极其逼真的银行网站或者邮箱登录页，没有任何破绽。

如果这个漏洞没有被Mythos提前发现并提交修复，一旦被黑产利用，后果不堪设想。

全球数十亿台设备，其实一直都在危险边缘裸奔。这一次，是Mythos拉了回来。

史诗级反转：找bug不再是瓶颈，修bug才是！

随着Project Glasswing的推进，一个网络安全历史上从未出现过的奇葩现象诞生了。

「网络安全的瓶颈不再是寻找漏洞。现在的瓶颈是：人类修复漏洞的速度，远远跟不上AI发现漏洞的速度。」

对于开源社区维护者来说，这简直是一场噩梦。

Anthropic的漏洞报告就像雪片一样飞向各大开源社区。作者们已经招架不住了。

「别挖了！求求你们放慢速度！我们真的修不过来了！」

据Anthropic透露，近期有多位开源维护者发来「求饶」邮件，请求他们放缓漏洞披露的节奏。因为人手严重不足。

即使收到详细报告，人类程序员平均修复一个高危漏洞，依然需要整整两周的时间。

目前，Anthropic提交给开源作者的1129个漏洞中，目前只有75个高危漏洞被成功打上补丁。当前安全生态系统已经严重超载！

魔法打败魔法：Anthropic的防御

既然人类已经修不过来，那就用魔法打败魔法。

Anthropic果断抛出了「防御者工具包」方案。

首先是重磅上线的 Claude Security。

这是专为Claude企业版客户打造的自动化神器。它的逻辑是：我不光帮你找出代码库里的漏洞，我还直接把修复补丁给你写好。

上线仅三周，企业客户就已经用Opus 4.7光速修复了超过2100个漏洞！

其次是「网络验证计划」。

Anthropic开始允许专业的白帽子、渗透测试员和红蓝对抗团队，在合法合规的前提下，解除Claude模型的一些「安全紧箍咒」，用于合法的漏洞研究和靶场测试。

更有意思的是，Anthropic直接开源了一套「抓BUG流水线」。

1 定制化指令（Skills）： 教你怎么让AI保持专注，进行深度的代码审查。

2 自动化框架（Harness）： 一个能让Claude自动遍历庞大代码库、克隆子代理并行扫描、自动分拣漏洞并生成报告的指挥系统。

3 威胁建模生成器（Threat Model Builder）： 直接把代码丢进去，AI会自动识别系统里最容易被攻击的「软肋」，优先安排重点防御。

网络巨头思科也站了出来，宣布开源「Foundry Security Spec」系统，搭建类似于Mythos的安全评估防线。

从此，就是AI发现漏洞，再用AI生成补丁，人类只负责最后审核。

这，才是未来网络安全的终极形态。

达摩克利斯之剑：Mythos究竟何时公开发布？

所以，Claude Mythos究竟什么时候正式开放？

Anthropic目前的态度依然非常谨慎。

他们表示，一旦构建出「更强大、更高级别的安全护栏」，Mythos级模型必将全面推向公开发布！

现在还不能放出来，因为它实在太危险了。

正如XBOW的测试报告所言：Mythos Preview在Web漏洞利用基准测试上实现了「对所有现有模型的跨代级大幅领先」，甚至在每一个Token的生成上都展现出了「绝对史无前例的精确度」。

Anthropic非常清楚，目前世界上没有任何一家公司拥有足够强大的安全机制，能100%确保这个模型不被滥用。

如果今天就把Mythos的API公之于众，明天全球的黑客组织、甚至某些极端组织，就能以极低成本批量生产出成千上万个Zero-day利用工具。

普通人的电脑、医院的系统、电网的控制中枢，将面临一场浩劫！

Anthropic给出的建议是：

1 缩短补丁周期！缩短补丁周期！缩短补丁周期！ 别攒着一个月发一次更新了，利用现有的AI工具（如Opus 4.7），尽快把安全修复推给用户。

2 强制升级策略。 开发者必须让用户尽可能无脑地安装更新，对于那些死活不升级的用户，采取强制断网。 回归安全基本功。

3 强化多因素认证（MFA）、加固默认配置、保留详尽的日志。风暴前夕的平静

风暴前夕的平静

一个月，超50家巨头联手，10000+致命漏洞，拦截150万美元电诈……这仅仅是Claude Mythos Preview小试牛刀的战绩。

现在，人类程序员在经历阵痛期——被AI报告淹没，修补潜伏二三十年的bug。

但正如Anthropic在所展望的那样——

「跨越这些风险之后，一个令人振奋的世界正在向我们招手：在那个世界里，人类重要的代码将被淬炼得比今天坚固百倍，而黑客攻击，将成为极其罕见的历史名词。」

让我们默默感谢一下那些不知疲倦地审查了数亿行代码的AI。

很可能，它刚刚为你阻挡了一次致命的核爆。

本文转自：凤凰网科技

原文地址： https://tech.ifeng.com/c/8tMaZ1U3dbo