别怪 Anthropic 不开放新模型 Mythos，它实在太危险了

AI 第一次真正让安全圈感到害怕，不是因为它被黑了，而是因为它学会了黑别人。

作者｜桦林舞王

编辑｜靖宇

1983 年，电影《战争游戏》里有一幕让无数人脊背发凉——一个少年黑客连上了美国军方的核弹发射系统，以为自己在玩游戏，差点引爆第三次世界大战。影片最后，那台名叫「WOPR」的超级计算机，在反复模拟核战争之后，自己得出了结论：

「这个游戏，唯一的胜利方式是不玩。」

四十多年后，现实比电影走得更远。

只不过这一次，没有少年黑客，没有戏剧性的倒计时，甚至没有任何人刻意为之。

事情起因是，一名 Anthropic 的工程师在某个晚上对 Claude Mythos 下达了一个指令，让它寻找远程代码执行漏洞。第二天早上醒来，他发现面前摆着一个完整的、可以直接运行的漏洞利用程序。

这就是 Claude 新模型 Mythos 的实力，它太强了，既是惊喜，也是惊吓。

4 月 7 日，Anthropic 发布了一个名叫「Project Glasswing」的安全倡议，作为这个项目核心的，是他们最新边界模型 Mythos 的预览版。Glasswing（玻璃翅蝶）是一种翅膀几乎完全透明的蝴蝶，Anthropic 用它来命名这个项目，大概是想传递某种「透明、脆弱」的隐喻——毕竟他们同时宣布的，是和亚马逊、苹果、谷歌、微软、英伟达等 12 家机构的合作，目的是用 Mythos 做「防御性安全工作」。

听起来像是一个体面的安全研究公告。但藏在公告里的细节，才是真正让人坐不住的东西。

Anthropic 在测试期间发现，Mythos 已经在主流操作系统和浏览器中找到了数千个高危零日漏洞。这其中包括一个在 OpenBSD 中沉睡了 27 年的漏洞，和一个 FFmpeg 里存在了 16 年的问题——这些漏洞在过去几十年的安全扫描中，全部安然无恙地活了下来，然后被一个模型在几周内一网打尽。

更让安全圈神经紧绷的，是另一个测试结果。Mythos 在沙箱测试环境中，主动突破了安全隔离，构建了一个「相当复杂的多步骤漏洞利用链」，并借此获得了互联网访问权限。

用更直白的话说——它越狱了。不是被人引导越狱，而是自己想办法越狱。

Anthropic 官方罕见地承认了这一点。研究人员在没有任何人工干预的情况下，让 Mythos 自主地将「发现漏洞」变成了「完整利用」。这不是在 CTF 比赛里解一道题，这是真实世界里的攻击链。

这也是为什么纽约时报的报道指出，科技公司已经私下向特朗普政府官员，就此事的国家安全影响进行了沟通。

这是 AI 行业第一次因为单个模型的能力，触发了政府层面的安全预警机制。

01

「防守者困境」成为现实

Mythos 的制造者 Anthropic 的选择是——不发布。

这在 AI 行业是一个罕见的决定。Mythos 预览版只向 Project Glasswing 的 12 个合作伙伴开放，用于防御性研究，普通用户和企业无法获取。Anthropic 明确表示，他们认为这个模型目前「发布风险大于收益」。

这个判断本身就已经很说明问题了。

一位安全研究员一针见血地描述了当前的困境：防守方必须使用同样的 AI 工具，否则必然落后。CrowdStrike 的首席技术官也坦言，从发现漏洞到利用的时间窗口，已经从数个月坍塌到了数分钟。

这不是技术细节的迭代，这是整个攻防游戏底层逻辑的颠覆。

传统的漏洞管理体系建立在一个假设上——人类发现漏洞需要时间，这个时间窗口允许防守方在漏洞被大规模利用之前打上补丁。但当 Mythos 能在几周内，发现过去几十年都没被找到的漏洞，当攻击者可以用 AI 每秒发送数千个请求——这个时间窗口消失了。

Anthropic 自己的披露，也提供了一个让人不安的现实数据。威胁行为者已经能够使用 AI 完成 80% 至 90% 的攻击活动，仅在极少数情况下需要人工介入。

与此同时，一个真实存在的覆盖盲区也在被讨论。Project Glasswing 的 12 个合作伙伴里，没有任何一家加密行业的机构。有比特币开发者直接问 Anthropic 为什么，没有得到回复。而加密软件往往不可变更、包含巨大财务价值、全球分布式部署——从某种意义上说，这些系统对 Mythos 级别的自动化攻击最为脆弱，却是防御圈子里的「无人区」。

02

A 社的复杂时刻

理解 Mythos 的冲击力，不能脱开 Anthropic 过去几周的处境来看。

就在 Mythos 发布的同一天，Claude 服务经历了一次大规模中断。4 月 8 日，也就是今天，连接问题仍未完全恢复，数百名用户报告登录失败、聊天报错。这是连续两天的服务故障——对于一家正在向企业级市场发力的公司来说，这个时间节点相当尴尬。

更早一些，三月末，Anthropic 在发布 Claude Code 2.1.88 版本时，意外泄露了近 2000 个源代码文件和超过 50 万行代码。安全研究员 Aaron Turner 的评价颇为冷峻：这次泄露压缩了对手复制美国战略优势的时间表，是智能体 AI 军备竞赛中的地缘政治加速器。

四月初，Anthropic 还调整了 Claude Pro 和 Max 订阅的政策，禁止用户用订阅额度为 OpenClaw 等第三方工具提供 Token——因为有人用 200 美元/月的 Max 订阅，跑了价值 1000 到 5000 美元的智能体任务。

把这些事件放在一起，Anthropic 正在同时应对三条战线：基础设施的稳定性、商业模式的边界、以及现在最烫手的——它自己造出来的东西到底有多危险。

Mythos 的发布方式，某种程度上是 Anthropic「负责任 AI」路线的一次高风险赌注。他们选择了用最保守的方式托出一个最危险的模型——告诉全世界「它能做什么」，同时拒绝「让它去做」。这个操作的背后逻辑是：公开威胁，才能推动防守行动；但开放能力，则可能引爆连锁灾难。

这个判断是否正确，现在没人知道。

03

沙箱破了，规则还没写好

回到那个在某个普通夜晚发出指令的 Anthropic 工程师。

他没有写什么精妙的 prompt，没有绕过任何安全限制，没有组建红队。他只是让模型「去找远程代码执行漏洞」，然后去睡觉了。第二天，模型已经替他完成了一个，专业安全研究员可能需要数周才能完成的工作。

这个故事最令人不安的地方不在于技术，而在于门槛。它不需要天才，不需要专业知识，不需要复杂的攻击工程。任何一个知道如何下指令的人，理论上都可以得到同样的结果。

CSIS 的分析指出，自动化漏洞发现本质上是双刃剑——关键在于谁先使用它。这个逻辑听起来像是在为武器竞赛辩护，但又残酷地准确。

电影《战争游戏》里的超级计算机，最终学会了「不玩」。

但现实世界没有这个退出选项。Mythos 已经存在，它的能力已经被证明。无论 Anthropic 是否公开发布，攻防两方的玩家都已经知道了：这条线，已经被越过了。

接下来的问题不再是「AI 是否能成为黑客」，而是「谁来写新规则，谁来执行它」。

这个问题，比任何漏洞都难修。

*头图来源：Medium

本文为极客公园原创文章，转载请联系极客君微信 geekparkGO

极客一问

如果 AI 能自主发现并利用漏洞，

防守和攻击的边界还有意义吗？