北京
2025年,AWS每天分析400万亿条网络流量,拦下了3亿多次针对S3的恶意加密攻击。但这家公司内部有个更夸张的数字:安全审查时间从平均6小时压缩到了7分钟。
不是用更多人堆出来的,是用AI。
现在AWS和Anthropic决定把这能力外放——但只给特定的人看。Claude Mythos Preview(克劳德·神话预览版)正在通过Amazon Bedrock(亚马逊基岩)做受限发布,名单上的组织得先过审。
从6小时到7分钟,AWS内部先跑通了
AWS的安全团队早就用机器学习筛日志。传统流程里,工程师得盯着海量告警逐条排查,平均耗掉一个工作日。AI接手后,筛选和初判自动化,人只负责终审。
这个效率提升不是实验室数据,是AWS自己基础设施的实战结果。
每天400万亿条网络流,相当于每秒4600万条。人类不可能看,但模型可以找模式。2025年拦下的3亿多次S3加密攻击,就是这么筛出来的。
问题是:AWS能用,企业客户凭什么不能用?
答案分两层。技术层,AWS要把自己用的能力产品化;风险层,这种能写利用代码的AI不能乱发。
Claude Mythos Preview的定位很精准——专门给网络安全和复杂软件编码做的推理模型。找漏洞、打补丁,工程师给最小指导就能跑。
但"能写利用代码"本身就是双刃剑。AWS和Anthropic的解法是把门先关上,只开一扇窗。
Claude Mythos: gated release(门控发布)的逻辑
目前能摸到Claude Mythos Preview的组织分两类:互联网关键基础设施公司,以及维护着数亿人依赖的开源项目的主要维护者。
不是付费就能进,是申请+审核。AWS和Anthropic在挑人。
被选中的团队在Bedrock上跑模型时,还有一层企业级安全控制。生产资产不会直接暴露给AI,测试环境隔离,操作留痕。
这种谨慎和Anthropic一贯的风格一致。Claude系列从Claude 3开始就在长文本和代码能力上堆料,但发布节奏比竞品慢半拍。安全评估、红队测试、政策审查,一样不落。
Project Glasswing(玻璃翼计划)是Anthropic新推的专项,Mythos是头炮。名字取"神话"之意,大概是指这种AI找漏洞的能力在从业者眼里近乎传说——但传说不能失控。
AWS这边同步放出的还有AWS Security Agent(AWS安全代理),已经正式商用。
这个工具把企业渗透测试从"季度性人工项目"变成"7×24小时常驻能力"。跨AWS、Azure、GCP(谷歌云平台)和本地环境,自动发现漏洞后不是报个告警完事,而是真的尝试利用。
利用成功了,才生成带修复建议的完整报告。没成功的,不打扰。
攻击者用AI规模化,防御者得先跑一步
国家背景黑客和勒索软件团伙已经在用AI放大攻击面。自动生成钓鱼邮件、批量扫描漏洞、快速改写恶意代码——攻击端的效率在涨,防御端不能守着旧工具。
AWS和Anthropic的组合拳是:用Anthropic的模型做威胁检测和代码分析,用AWS的Security Agent做持续验证和自动响应。
一个管"看得准",一个管"打得快"。
但这里有个微妙的时间差。Claude Mythos Preview还在门控阶段,Security Agent已经商用。前者是给最敏感场景准备的"限量武器",后者是给企业客户的"制式装备"。
两者共享同一套技术底座,但释放节奏错开。AWS似乎在测试一个假设:最高阶的AI安全能力,能不能通过分级授权的方式逐步扩散,而不是一次性开放。
这和云计算早期的路径有点像。AWS最开始只给内部用,然后开放给创业公司,最后才成为通用基础设施。安全AI可能也在走同一条路,只是门槛更高、审核更严。
被选进Mythos预览名单的组织,某种程度上成了这套分级体系的早期验证者。他们的反馈会决定"限量武器"什么时候、以什么条件变成"制式装备"。
有个细节值得注意:Mythos的访问申请页面明确要求描述"预期使用场景"和"安全治理流程"。这不是走形式,Anthropic的安全团队会逐条评估。被拒的组织不会公开,但能通过的消息会陆续出来。
开源维护者的优先级被刻意抬高,理由是他们的代码影响面太广。一个被忽视的漏洞在流行库里面,可能一夜之间变成数百万系统的攻击入口。让Mythos先帮这帮人找问题,ROI(投资回报率)最高。
AWS内部那套"6小时变7分钟"的流程,会不会最终变成所有Bedrock客户的标配?技术上没有障碍,政策上有。Mythos的完整能力涉及自主代码生成和漏洞利用,监管框架还没跟上。
门控发布是一种折中:让市场看到可能性,同时把风险关在笼子里。
Security Agent的商用化已经证明,"AI自动渗透测试"这个品类有真实需求。企业愿意为持续验证付费,而不是季度性的人工报告。Mythos如果放开,可能会吃掉更高阶的市场——红队服务、代码审计、漏洞赏金平台的部分职能。
但那是后话。现在的游戏规则是:先排队,等审核,进了名单再谈。
你的公司安全团队,准备好填那张申请表了吗?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
