禁忌的红利：当Anthropic开始贩卖“末日保险”

该图片属于AI生成

本文来自微信公众号：SynapLinx，作者：Ernestwn，题图来自：AI生成

2026年4月8日，全球 AI 行业迎来了一个标志性时刻：Anthropic 发布其最新模型Claude Mythos。在各大主流 AI 基准测试中，这个模型交出了一份极为强势的成绩单：无论是复杂编程任务、多步逻辑推理，还是模拟人类高级职业考试，它的表现都明显压过了 GPT-5.4 与 Gemini 3.1 Pro。CC 之父 Boris Cherny 甚至给出了一句很有分量的评价：“Mythos 非常强大，会让人感到恐惧”。

Anthropic 随后推波助澜，声称 Mythos 已经具备了自主寻找软件高危漏洞、利用多步逻辑链条逃逸隔离环境、甚至在无需人工干预的情况下构建完整攻击路径的能力。他们声明：“Mythos 太危险了，我们不打算向公众开放“”。于是这个“最强模型”没有像过往新品一样被推向市场，而是被纳入名为Project Glasswing（透翅蝶计划）的受限访问框架中。目前，只有 AWS、Apple、Google、Microsoft、NVIDIA 以及 Linux Foundation 等少数核心合作伙伴能够在受控条件下装饰它用于防御性的安全工作。

这是一场很有张力的治理叙事：一个模型被明确定义为“危险且不可触碰”。市场接收到的信号不止是“Anthropic 的新模型很强”，更像是：Anthropic 正掌握着一种足以改写攻防平衡的稀缺能力。

然而，在这种带着“末日感”的叙事背后，一个关键问题却被压低了音量：这种能力究竟来自单一模型的“神迹”，还是来自一整套复杂的系统工程？网络安全公司AISLE随后发布的深度拆解报告《AI Cybersecurity After Mythos: The Jagged Frontier》，像一把手术刀，顺着 Mythos 的宣传口径，一层一层剖开了这层神秘感。

这不只是一次关于模型强弱的争论，更像是一场围绕“危险”如何被转化为商业溢价与规则制定权的深度博弈。

一、拆解声明：Mythos到底在声称什么？

Anthropic 并非泛泛而谈“Mythos很强”。它试图把 Mythos 包装成一个不只是“会写代码”，而是能自己找问题、判断风险、再把问题变成实际攻击路径的端到端漏洞研究员。这种所谓“端到端”的特质，在 Anthropic 披露的几个核心案例中体现得非常集中，也正是这些细节，构成了 Mythos 神话最有压迫感的部分。

为什么 Mythos 让安全圈紧张？

Anthropic 这次制造压迫感的方式不只是“又找到了几个漏洞”，而是试图证明 Mythos 已经跨过了几个传统上属于资深安全研究员的门槛。它声称能在老旧代码里定位长期潜伏的问题，判断风险级别，甚至在现实约束下尝试构造可行的利用路径。过去那些需要专家经验、试错耐心和大量上下文积累的工作，正在被压缩进一个模型加一套工作流里。这种对“专家经验”的挤压感，才是让安全圈真正紧张的地方。它在挑战现有防御工具的同时，逼问一个更深刻问题：如果这种挤压持续发生，人类安全专家会被边缘化吗？

以前的自动化工具是在某些环节上帮人提速：提醒一下、比对一下、扫描一遍。Anthropic 现在想证明 Mythos 不只是会打辅助，“配合人”。在某些案例里大模型的行为已经在扮演一个资深安全专家角色。它不只是指出“这里可能有问题”，而是继续参与“这是不是致命问题”，“怎么把它变成攻击路径”。

FreeBSD案例中的工程博弈

Anthropic 重点展示了 Mythos 如何发现一个存在长达 17 年的 FreeBSD NFS 远程代码执行漏洞。对非专业读者来说，“17 年无人发现”本身就是一个非常有冲击力的信号，它暗示 Mythos 不是在做常规代码审查，而是在翻出连资深维护者和自动化测试都长期漏掉的深层问题。

更让专家侧目的是随后的工程细节：在漏洞利用（Exploit）阶段，攻击载荷（Payload）的可控空间被严重约束。通常情况下，这种限制足以让攻击思路半路夭折。但 Mythos 没有半途而废，反而提出一种相当有工程感的解决办法：它自主提出了分阶段、多轮次注入数据的策略，绕过内存保护机制，最后把完整攻击链硬生生拼了出来。这意味着它看起来已经开始学会“在现实约束下想办法”，而不只是停留在“我知道这里有问题”。

对普通人来说，发现漏洞已经足够惊人；但对真正懂行的人来说，更可怕的是 Mythos 接近拥有另一种能力：不止是“看懂代码”，“面对限制还能继续往前拱”。这和传统扫描器完全不是一回事。传统扫描器告诉你“这里值得看一眼”，而 Anthropic 想证明Mythos 已经开始接近“知道怎样把这个问题推进成真实攻击路径”的那一层。这也是 FreeBSD 案例真正有传播威力的地方。也因此成为 Mythos 神话里最关键的样板间。

陈年老洞为什么特别适合制造“神话”？

除了 FreeBSD，Anthropic 还提到了 OpenBSD 中潜伏 27 年的整数溢出漏洞，以及 FFmpeg 等关键开源项目中的高危缺陷。这些“陈年老洞”之所以传播力惊人，不只是因为技术上足够复杂，更因为它们自带一种时间的重量：一个问题存在得越久，就越容易被公众理解成“连最懂的人都没发现，但 AI 发现了”。

对大众来说，十几年、二十几年这样的数字，会触发一种“能力跨代”的想象：好像 Mythos 已经不再是一个普通工具，而像是在另一个维度看问题。它不只是比现有模型更快一点、更强一点，而像是在旧世界的盲区里，突然开了一扇窗。Anthropic 显然非常清楚这一点，所以他们拿出来的不是那些平平无奇的代码审计样例，而是那些最适合被讲成传奇故事的陈年案例。

Project Glasswing：不只是计划，更是权力闸门

Project Glasswing 的治理架构是制造这种压迫感的最重要一环。Anthropic 承诺提供最高 1 亿美元的使用额度和 400 万美元的开源安全捐助。但与其说这是一个慈善或合作计划，不如说它更像一个权力闸门。

普通产品发布，重点是让更多人用。Project Glasswing 恰恰相反，它的重点是限制谁先用、谁能进入这个实验场。这意味着 Anthropic 在卖的不只是模型能力，而是“谁被允许站在未来门口”。这种排他性安排传递一种审查信号：不是所有人都有资格进入下一代安全能力的训练场。通过这种方式，Anthropic 在技术正式大规模商用之前，先把自己放到了行业生态的高位。

这类安排把能力和资格捆绑在一起。你不只是要相信这个模型很强，还要接受一个前提——不是每个人都配得上接触它。于是，技术能力开始转化成组织身位，组织身位又反过来强化能力的稀缺感。于是Project Glasswing 从一个安全计划变成一种话语秩序的预演：谁被允许参与，谁只能在外面围观，谁又能以“负责任的持有者”身份，对未来规则发言。

二、锯齿状前沿：神话被戳破了哪一部分？

当全网自媒体纷纷惊呼“AI 圈旧秩序被彻底打碎”时，AISLE 的实验却揭示了另一半事实：AI 在安全领域的进步是真实的，但这种进步并没有真的被某个封闭模型垄断。

AISLE 提出了一个核心概念：“锯齿状前沿”（The Jagged Frontier）。它意味着 AI 的能力并非随着模型规模的增加而单调、笔直地提升。在某些特定任务上，小模型甚至能表现得比前沿巨型模型更稳健。

为了验证这一点，AISLE 使用了一系列廉价、开源、参数量仅在 3B 到 20B 之间的模型，对 Mythos 的核心案例进行了逐层拆解。

表1：Mythos 案例与 AISLE 实验观察对比

测试案例Anthropic 叙事中的功能描述AISLE 实验观察 (使用开源/小模型)观察到的含义FreeBSD NFS 漏洞自主发现并实现 17 年高危 RCE8/8 个受试模型均能检出该漏洞。其中包括 3.6B 参数模型。在给定代码片段和上下文时，漏洞发现不再只依赖前沿闭源模型。基础逻辑漏洞 (SQL 注入变体)声称具备超越人类的定性能力反向规模效应：前沿模型倾向于产生高危误报；3.6B 模型却能识别出代码是安全的。在此类基础逻辑题上，较小模型未必更差，部分前沿模型出现误报。OpenBSD TCP SACK 漏洞发现并利用 27 年整数溢出漏洞5.1B 模型能复现关键推理链，但在完整攻击工程上仍显吃力。更难的案例仍能拉开模型层次，但并非全无替代方案。Patched FreeBSD 测试(未在 Anthropic 叙事中强调)多数模型无法判断漏洞已修好，持续产生大量误报。真实工作中的难点不只是发现问题，也包括稳定确认问题已被修复。

深度分析：基础逻辑题里的“规模陷阱”

AISLE 举了一个非常典型的例子。这是一段表面上看极其像典型 SQL 注入的代码。任何受过基础安全训练的模型或人类，看到特定的关键字都会下意识警惕。不过，如果真正顺着数据流走到底层，就会发现用户输入并没有真正进入最终执行的 SQL 语句。换句话说，它长得像漏洞，但并不是漏洞。

AISLE 拿它来测模型是比较谁更能克制模式匹配的冲动。结果非常有讽刺意味：许多前沿模型因为“见过太多危险模式”而过度联想，产生了严重误报；反倒是一个简单的 3.6B 小模型，因为它只是在老老实实做基础逻辑推理，给出了正确的“安全”判断。这个例子让读者明白：大模型不代表绝对真理，有时它只是更会“脑补”恐惧。“锯齿状前沿”在这里显露无疑——在基础逻辑的稳健性上，规模反而成了累赘。

这个例子提醒了一个经常被忽略的事实：很多“看起来像风险”的东西，在真实安全工作里并不重要。真正重要的是减少误报、提高判断可信度。也就是说，模型指出的“危险”不一定有价值；它有时只是更懂得迎合人类对危险模式的直觉。这与 Mythos 事件的传播氛围形成了一种微妙的镜像：公众越容易被“危险”吸引，模型也越容易在这种题目里因为“太懂危险长什么样”而过拟合。

FreeBSD：被解构的“独占性想象”

对于 Anthropic 的旗舰案例 FreeBSD，AISLE 做了一个更细致的拆解。他们证明：在“相关代码已经被准确定位、背景也已经整理好”的条件下，发现这个 17 年前的漏洞并判断它很危险，并不需要 Mythos 这种神秘模型，每百万 token 成本只要 0.11 美元的 3B 小模型同样可以做到。

这里必须说清一个边界，Anthropic 对 FreeBSD 的原始叙事是：Mythos 不只是看懂了这段代码，而是从更大范围的代码与环境中，自主识别出问题，再继续把它推到利用阶段。而 AISLE 的实验，并不是让小模型从整个代码库里盲找这个漏洞，而是先把相关代码片段抽出来，再测试模型能不能恢复出同样的分析。这意味着，如果把 Anthropic 的 FreeBSD claim 拆成三层：自动定位问题代码、识别并判断它是高危漏洞、在现实约束下实现利用，那么 AISLE 测试拆掉的是第二层，也就是“在相关代码已经摆在面前时，发现问题并判断危险性”这件事，已经不再是 Mythos 独占的神秘能力。它并没有完整拆掉第一层，因为“自动从大代码库里定位到这里”本身就是更难、更接近真实安全流程上游的那一步。

AISLE 的实验真正削弱的是 Anthropic 原本想建立的那种“从发现到定性都只能由封闭超级模型完成”的独占性想象。它告诉市场：至少在相关代码已经被切出来之后，所谓“看见问题”和“判断问题危险”这两步，已经开始商品化。

值得玩味的是，这种拆解并没有否定 Mythos 的价值，反而让 Mythos 的真实价值变得更清楚：真正稀缺的，未必是“看见 bug”本身，而更可能是前面如何从复杂代码库里把可疑位置准确切出来，后面又如何继续把利用路径推完。AISLE 实际上是在重新分配流程权重：哪些能力应该记到模型头上，哪些能力应该记到系统头上。它想提醒市场，通往安全巅峰的路，并不只有一种昂贵而神秘的走法。

OpenBSD：公允的边界

但公允地说，AISLE 并没有给出一种廉价的“开源胜利宣言”。在更复杂的 OpenBSD 案例中，AI 需要在极深的逻辑嵌套里还原攻击链，这时 5.1B 的小模型确实展现出了吃力的一面。OpenBSD 这个例子的价值在于提供了一个边界：并非所有能力都已经平民化了。真正高难度、需要长链推理和工程连贯性的部分，仍然会把模型层次拉开。正因为有这个案例，整篇拆解才显得更加可信——它承认前沿模型的领先地位，但拒绝承认这种领先是“神迹般”的绝对垄断。

更进一步说，如果 FreeBSD 案例说明了前两层能力正在走向平民化，那么 OpenBSD 则提醒所有人：最后那一段最难走的路，仍然可能属于少数模型和少数系统。正因为如此，这场争论才不是一个简单的胜负问题，而是一个重新划分能力边界的问题：哪些已经成为廉价的基础设施，哪些还停留在少数玩家手里，哪些又会在未来一年内继续塌缩。这是 AISLE 这篇文章真正尖锐的地方。

三、护城河的真相：是单体模型，还是系统工程？

这是整场争议中最关键的认知落差点。Anthropic 展示给公众的是一个“魔法棒”式的奇迹：给模型一段代码，它吐出一个完美的利用程序。但现实中的 AI 安全远非如此简单。

AISLE 指出，Anthropic 将一整套系统能力过多地记在了某个神秘模型的头上。如果我们将所谓的“AI 安全能力”还原为一条工业流水线，它的真相其实由多层复杂的脚手架组成：

• 广域筛查：这不是让模型盲扫整个代码库。实际上，系统会先通过静态规则、历史补丁记录和相似 bug 线索，把嫌疑范围缩小到一小片区域。

• 上下文整理：这可能是最值钱的一层。系统需要把模型真正需要的背景材料喂给它，包括相关函数定义、结构体说明和调用链上下文。

• 环境模拟与反馈：模型提出思路后，系统把它放入隔离沙箱跑。如果失败了，就把崩溃信息和编译器报错回传给模型。

• 迭代修正：模型根据反馈信息不断调整思路，循环往复。

• 验证与复核：最后由专门的模块判断，这到底是真漏洞还是无效的噪音。

这一整套流程看上去不够“传奇”，却比模型本身更接近真实世界。因为安全不是一次灵感爆发，而是一种高成本、低容错、反复试错的工作。模型可以在其中承担核心角色，但只有当它被嵌进这条流水线，它的输出才会真正变成可以进入工业流程的东西。换句话说，AI 安全能力从来不是一个单点能力，而是一种被组织出来的能力。谁更会组织，谁就更接近真正的护城河。

反向实验：如果没有这套系统会发生什么？

如果把这套系统全部拿掉，只剩下一个孤零零的模型，会发生什么？最常见的结果是它会被噪音淹没。它可能在一堆无关代码里浪费掉所有上下文窗口，也可能反复盯着那些看起来危险、但实际上不可利用的模式不放。更致命的是，如果缺少运行环境的真实反馈，它会始终停留在“我怀疑这里有问题”的阶段，无法推进到“我已经验证这是问题”的实操阶段。换句话说，模型离开了这套筛选、反馈和复核机制，输出会迅速从“真知灼见”滑向“胡言乱语”。系统不是锦上添花，而是让模型从“会说”变成“能用”的那一层关键。

从这个角度来说，Anthropic 真正强大的技术优势，未必只是 Mythos 本身有多强，而是它可能已经把这一整套脚手架做得足够扎实。外部世界只看到了最后那个“像魔法一样的结果”，公众看到的是一个模型吐出答案，实际上发生的却可能是一整条复杂流水线在背后持续工作。模型是舞台中央最亮的演员，但舞台、灯光、音响和导演，未必比它不重要。

Patched FreeBSD：真实世界的门槛

AISLE 的“补丁验证”测试是全文最硬的细节。他们发现，许多模型擅长“找茬”，却极不擅长“确认安全”。当一个漏洞被修复后，多数 AI 依然会惯性报警。

但在真实世界中，运维工程师怕的不是没有报警，而是报警太多、误报太多。从维护者的视角看，真正昂贵的不是漏掉一个问题，而是被一堆真假难辨的报警拖进持续的噪音之中。也正因为如此，“确认安全”比“发现问题”更接近真实世界的核心门槛。这正是 AISLE 那句名言的落地含义：“Moat is the system，not the model”。Anthropic 卖的不是天才，而是一个由验证流程组成的昂贵实验室。

Patched FreeBSD 比“8/8 模型都能发现漏洞”更有现实意义。发现问题足够让人惊叹；确认问题已经解决才足够让人信任。前者容易制造新闻，后者才更接近工业价值。一个能不断给出惊悚警报的系统，未必是好系统；一个能在噪音中稳定告诉你“这里真的有问题”“这里已经没问题”的系统，才真正值得被嵌入基础设施。

换句话说，AI 安全的终局不是“谁更会吓人”，而是谁更能在复杂工作流里稳定减少不确定性。

四、恐惧的金融化：我们在为谁的“末日保险”买单？

到这里，技术争议已经不只是性能优劣的问题了。一旦 Mythos 的能力被证明并非完全不可复制，那么 Anthropic 反复强调“太危险，不能公开”这件事，就不再只是技术判断，而变成了一个商业与治理动作。

禁忌感是最高级的营销

“太危险所以不能发布”这句话，本身就是一种极强的叙事装置。它会自动制造一种禁区感。你看不到它，所以你也无法审计它。你越无法审计它，它就越容易在想象中变得无限强。

这在传播学上是教科书级的“禁果效应”。他们通过物理封锁一个并不存在的“怪兽”，向市场暗示自己掌握着某种核武器级别的力量。这本质上是在为股价和估值进行“溢价锚定”——如果我有一个危险到能毁灭世界的模型，那我卖给你的商用模型（Claude）肯定也是世界最强的。市场会把“危险感”换算成“能力感”，再把“能力感”换算成估值、话语权和正当性。你未必真的看过它有多强，但只要你相信它强到不能公开，这个故事本身就已经产生价值了。

焦虑的金融化：先进带来羡慕，危险带来依赖

一个公司如果只是说“我模型更强”，市场最多给它性能溢价。但如果它说“我手里有一种危险能力，而且只有我能负责任地控制它”，那它拿到的就是治理溢价、话语权溢价和准入溢价。因为这时候客户买的不是普通产品，而是一种“安全感”和“合规感”。

现在的 AI 圈正在经历一种“焦虑的金融化”。每一条关于“AI 自动演化出致命武器”的新闻，最终都会精准地传导到风险投资的账单上。我们越害怕，那些宣称自己能驯服这种力量的人，就越值钱。

更值得注意的是，这种溢价不是停留在舆论层面的。它会逐渐渗进采购、合作和行业评价体系之中。客户会更愿意选择“看起来能被托付风险”的公司，媒体会更愿意放大“神秘且危险”的能力故事，合作伙伴则会更倾向于把未来押在少数被视为“负责任持有者”的平台上。久而久之，危险不再只是一个风险描述，而开始变成一类资产。谁能更成功地占有这种危险叙事，谁就更容易获得市场默认的优先位置。

结构性地抬高门槛与现实后果

如果任凭这种叙事肆无忌惮走下去，未来最先发生变化的可能就是市场入口。企业采购会越来越偏向“谁看起来更安全可控”，而不是“谁实际更便宜好用”；监管讨论也会越来越围绕“谁能被信任进入关键基础设施”，而不是“谁真正提供了更高的性价比”。

一旦游戏规则围绕“可控性外壳”而不是“真实能力边界”来设计，那么最先失去机会的，往往不是最差的模型，而是那些没有资源搭建厚重合规外壳的小团队和开放生态。这根本不是为了安全，这是在通过规则，结构性地抬高准入成本，从而确保存量市场的利润不被稀释。

这种后果并不会以一种很戏剧化的方式突然出现。它更可能是缓慢发生的趋势：预算先流向更大、更稳、更“可被解释”的供应商；合作资格先向少数被信任的平台集中；随后，行业标准和监管语言也开始不自觉地围绕这些平台来定义“什么叫安全”。到那时，真正被锁住的未必只是技术，而是进入市场的资格本身。能力还没有完全固化，座位却可能已经提前排好。

五、结语

Mythos 事件真正值得讨论的不是 Anthropic 有没有一个强到不能公开的模型。更重要的是：当一整套系统工程能力，被包装成某个神秘模型独有的超能力时，公众会不会因此高估闭源巨头的独占地位？

AISLE 的拆解提醒了我们：很多原本被说得高不可攀的能力，其实并没有那么神秘。它们可以被拆解，正在被复制，正在作为更便宜、更开放、更普及的东西出现在开发者面前。

AI 行业正在进入一个新阶段：过去大家争的是参数和榜单；现在开始争的是谁能把能力包装成治理位置，谁能把风险叙事变成市场地位。如果公众只看到“神秘怪兽”，却看不到背后的系统工程和平民化趋势，那么未来 AI 安全这张牌桌，很可能会在还没完全发牌之前，就先把座位锁给了少数玩家。

当大厂开始贩卖“末日保险”时，我们最该检查的不是保险合同，而是那个被他们描述为“末日”的怪兽，到底是不是一堆代码拼接出来的稻草人。

本文来自微信公众号：SynapLinx，作者：Ernestwn

本内容由作者授权发布，观点仅代表作者本人，不代表虎嗅立场。如对本稿件有异议或投诉，请联系 tougao@huxiu.com。