Anthropic藏了3年的新模型被意外曝光，代号「水豚」

一家AI公司把自家最强模型藏在公开文档里，像把保险箱密码贴在冰箱上。

上个月，安全研究人员在Anthropic一个可公开访问的数据湖中，发现了一份未发布的博客草稿。文档里管这个新模型叫「Capybara（水豚）」，描述却相当夸张——「比我们现有的Opus模型更大更智能」「迄今为止开发的最强AI模型」。Anthropic后来承认这是「人为失误」，但拒绝透露更多细节。

本周二，这只「水豚」正式亮相，只不过换了个更严肃的名字：Mythos。同时公布的还有它的用途——不面向公众，只给40多家合作伙伴做网络安全扫描，项目代号「Glasswing（玻璃翅）」。

从「水豚」到Mythos：一场被迫的提前官宣

泄露事件把Anthropic逼到了墙角。原本计划中的渐进式发布，变成了不得不回应的公关危机。

但公司很快找到了叙事支点：与其让外界猜测，不如把意外曝光转化为一场「安全优先」的宣言。Mythos的预览版被包装成Project Glasswing的核心工具，专门用于「防御性安全工作」——扫描第一方和开源软件系统的代码漏洞。

这个定位相当微妙。Mythos本身并非为网络安全专门训练，而是Claude系列的通用前沿模型，强项在于智能体编码和推理。Anthropic把它塞进安全场景，有点像把F1引擎装进装甲车——动力过剩，但确实能跑。

合作伙伴名单透露了更多信号：亚马逊、苹果、博通、思科、CrowdStrike、Linux基金会、微软、Palo Alto Networks。清一色的基础设施和网络安全巨头，没有消费级应用公司。

Anthropic的算盘很明确：让这些组织在真实环境中压力测试Mythos，再把发现反馈给整个行业。预览版不会公开，研究成果却会共享——一种「封闭测试、开放收益」的混合策略。

「数千个零日漏洞」：数字背后的可信度博弈

Anthropic声称，过去几周Mythos已经识别出「数千个零日漏洞，其中许多属于关键级别」。更耐人寻味的是补充说明：很多漏洞已经存在一到二十年。

这个数字如果属实，意味着两件事。第一，传统静态分析工具和人工审计在过去二十年里漏掉了大量表面缺陷。第二，Mythos的代码理解能力确实达到了新高度——能发现人类和旧工具共同错过的模式。

但「零日漏洞」的表述需要拆解。严格定义下，零日指未被公开披露、无补丁的漏洞。而Anthropic说的是「已存在一到二十年」的问题，这更像是「沉睡的已知漏洞」或「被忽视的古老bug」，而非传统意义上的零日。

措辞的模糊性可能是营销需要，也可能是分类标准不同。无论如何，合作伙伴的实际验证才是关键。CrowdStrike和Palo Alto Networks这些乙方不会为别人的PPT背书，它们的沉默或表态比Anthropic的新闻稿更有分量。

另一个细节：Mythos扫描的是「第一方和开源软件系统」。开源代码库的漏洞赏金生态已经相当成熟，Mythos的介入可能直接冲击现有商业模式。如果AI能批量发现低垂果实，人工安全研究员的时薪定价体系需要重新计算。

五角大楼的「供应链风险」标签：一场未结束的拉锯

Anthropic在公告中轻描淡写地提到，公司与联邦官员就Mythos的使用进行了「持续讨论」。这句话的潜台词比字面意思复杂得多。

就在不久前，五角大楼把Anthropic列为「供应链风险」，直接原因是公司拒绝让AI参与对美国公民的自主定位或监控。这是AI伦理立场与国家安全需求之间的正面冲突，Anthropic选择了前者，付出了被贴上风险标签的代价。

现在它试图用Mythos修复关系——不是通过妥协原则，而是通过证明自身在「防御性」场景的价值。网络安全扫描不涉及实时监视公民，属于双方都能接受的中间地带。

但这种平衡能维持多久是个问号。如果Mythos在Glasswing项目中表现出色，政府方面可能施压要求扩展应用范围；如果表现平平，Anthropic的「安全优先」叙事又会受到质疑。

更深层的问题在于模型能力的双重用途属性。能发现漏洞的AI，同样能设计攻击载荷。Anthropic强调「防御性」，但技术本身不区分攻防意图。合作伙伴中的CrowdStrike和Palo Alto Networks既做防御也做威胁情报，它们的内部使用边界在哪里，外界无从得知。

「玻璃翅」的隐喻：透明还是脆弱？

Project Glasswing的命名值得玩味。玻璃翅蝴蝶（Greta oto）的翅膀透明如玻璃，既是伪装手段，也是结构弱点——在特定光线下反而更显眼。

Anthropic似乎在暗示一种新型透明：模型不公开，但研究成果共享；能力不扩散，但知识普惠。这种「选择性透明」是AI安全讨论中的经典张力——完全开放可能被滥用，完全封闭又违背行业协作精神。

40多家合作伙伴的规模也经过精心设计。足够多以确保覆盖不同技术栈，又足够少以维持控制。亚马逊和微软同时出现尤其微妙：它们是Anthropic的竞争对手（各自拥有Bedrock和Copilot生态），也是云基础设施的提供者。这种「竞合」关系让Glasswing更像一场行业协调实验，而非单纯的技术测试。

Linux基金会的参与则指向开源生态的治理难题。Mythos扫描开源代码发现的漏洞，归属权和修复责任如何分配？基金会作为中立协调方，能否建立新的披露流程？这些问题没有现成答案。

一个尚未被充分讨论的细节是：Mythos的「预览」状态可能持续很久。 Anthropic没有给出正式发布时间表，也没有承诺API开放。这意味着行业对它的评估将长期依赖二手信息——合作伙伴的论文、会议演讲、间接引用。信息的不对称本身会成为权力杠杆。

回到泄露事件本身。那份把Mythos称为「水豚」的草稿，语气近乎内部狂欢——「比我们现有的Opus模型更大更智能」「迄今为止最强」。正式发布时的克制措辞，反而像是一种矫正。从「水豚」到Mythos，从内部代号到品牌名称，命名的严肃化过程也是期望管理的过程。

但「水豚」这个代号留下的痕迹不会消失。它提醒外界：在Anthropic的实验室里，工程师们仍在用动物名字称呼自己的造物，带着某种天真的骄傲。这种骄傲与公司在公共话语中刻意营造的审慎形象，构成了有趣的张力。

Mythos的真正测试不在扫描了多少行代码，而在它能否在「能力展示」和「风险管控」之间找到可持续的平衡点。Glasswing项目的设计是一次尝试，但40个合作伙伴的反馈闭环能否运转顺畅，政府关系的「持续讨论」能否转化为实际信任，都还是开放的问题。

如果Mythos确实如泄露文档所言是「迄今为止最强」，它的每一次能力跃迁都会重新校准这些平衡。而Anthropic选择了一条比OpenAI和Google更狭窄的路：不追求用户规模的扩张，转而押注机构合作和垂直场景。这条路能否走通，取决于「防御性安全」这个定位能否承载足够的商业价值和战略筹码。

最后一个值得追踪的信号：Anthropic说合作伙伴会分享「所学经验」，但没提具体形式。是学术论文？技术博客？还是闭门会议？透明度的粒度，将决定Glasswing是成为行业协作的模板，还是又一场精心策划的公关展演。

当Mythos扫描到第10000个漏洞时，它的操作日志会记录什么？哪些被标记为「关键」，哪些被降级处理，标准由谁制定——这些细节不会出现在新闻稿里，却可能定义AI安全工具的真实边界。