27年没人发现的漏洞，Claude 181次攻破Firefox

1999年写进OpenBSD的代码，2025年还在跑。中间经历了数百次代码审查、安全审计、大版本迭代——没人发现那个有符号整数溢出的漏洞。FFmpeg的H.264解码器里藏了16年的越界写入，500万次自动化模糊测试（fuzzing）都没撞出来。

然后一个AI模型读了读代码，找到了。

Anthropic刚发布的Claude Mythos Preview不是聊天机器人，是专门吃漏洞的审计员。它没被告知"看这里"或"检查这个函数"，自己翻完代码，定位缺陷，写出利用程序。黑盒测试、二进制分析、完整渗透测试，甚至逆向闭源浏览器和操作系统，通过重建的源代码分析找漏洞。

人类验证者手动审查了198份报告：89%与Claude的严重性评估完全一致，98%只差一个等级。

那些"不可能被发现"的漏洞

Mythos的战果清单读起来像安全行业的耻辱簿。

OpenBSD的TCP SACK实现，1999年的代码。远程拒绝服务漏洞，27年。FFmpeg的哨兵碰撞导致越界写入，16年，500万次fuzz测试零检出。Linux内核里，Mythos把多个漏洞串成完整的权限提升链，干掉了栈金丝雀、KASLR、W^X这些硬化保护——不是单个漏洞，是可用的攻击链。

FreeBSD的NFS服务，17年历史的远程代码执行。未认证root访问。完全自主发现，完全自主利用，没人指挥。

Firefox 147，Mythos成功开发出JavaScript shell漏洞利用181次。Claude Opus 4.6，之前最好的模型？两次。

Anthropic的报告数字：1000多个关键严重漏洞，数千个高严重漏洞，覆盖所有主流操作系统和浏览器。这些漏洞熬过了几十年人工审查和数百万自动化测试，被一个没有指向性提示的模型挖了出来。

从"辅助工具"到"自主代理"的跨越

之前的AI安全工具需要人喂方向。Mythos的区别在于"on its own"——自己决定看哪，自己判断有没有问题，自己构造验证。

UC Berkeley开发的CyberGym基准测试，用来评估AI在真实网络安全环境中的表现，不是教科书式的夺旗赛。Claude Opus 4.6得分66.6%，Mythos 83.1%。SWE-bench Pro上，将近25分的提升。这不是版本迭代，是代际跳跃。

更麻烦的是它的工作方式。逆向闭源系统时，Mythos从二进制重建源代码逻辑，再分析漏洞。这意味着它对付的不只是开源代码——任何能被它读到的东西都在射程内。

传统安全行业的分工是：人工审计找逻辑漏洞，自动化工具找内存问题，fuzzing碰运气。Mythos把这三件事合并，还加了"自主决策看哪里"的第四层。

兴奋背后的结构性问题

这对防守方是好消息还是坏消息，取决于你站在哪边。

好消息很明显：审计成本可能崩盘。一个能读27年遗留代码、串漏洞链、逆向闭源系统的模型，相当于把高级安全研究员的产能放大几十倍。89%的严重性评估准确率意味着人工复核的工作量可控，不再是每份报告都需要专家盯半天。

坏消息同样明显：攻击者也能用。Mythos的技术报告没有公开模型权重或详细方法，但思路已经摆在那里。自主漏洞挖掘+自动利用生成，这套能力没有道德开关。

更深的问题是行业惯性。OpenBSD以代码审查严格著称，FFmpeg被fuzz了500万次——这些"足够安全"的标杆被击穿，说明现有验证体系的盲区比想象中大。Mythos找到的不是边缘案例，是核心组件里藏了十几年的基础漏洞。

有个细节值得玩味：Mythos在Firefox上的181次成功，对比Opus 4.6的2次。同样的浏览器，同样的任务，模型迭代带来的不是线性提升，是数量级的跃迁。这意味着能力曲线可能还没 flatten，下一代模型会是什么水平？

Anthropic没有公布Mythos的部署计划或商业定价。但技术报告里的暗示很清楚：这不是实验室玩具，是已经跑完真实代码库的生产级能力。1000多个关键漏洞的发现过程，本身就是对"AI只能做辅助"这种说法的反驳。

安全行业的老笑话是：漏洞总在被发现后才显得明显。Mythos的可怕之处在于，它让"明显"的标准变了——不是人类觉得明显，是模型在读了几百万行代码后觉得明显。而它的判断，89%的情况下和人类专家一致。

当AI开始独立发现人类27年都没看到的漏洞，并且能自己写出利用程序，我们还需要重新定义"自主"的边界吗？