发现27年老漏洞，英美监管紧急开会，这个AI为什么"强到不宜公开"

发现27年老漏洞，英美监管紧急开会，这个AI为什么"强到不宜公开"？它到底有多强？为什么说它危险？市场被吓到了Anthropic在怕什么？对普通人意味着什么？最后

数千个高危漏洞。

覆盖所有主流操作系统和浏览器。

最老的一个，藏在OpenBSD里27年没人发现。

这不是某个顶级黑客团队的战绩，而是一个AI模型几小时的成果。

它叫Claude Mythos，Anthropic的最新作品。4月发布，但至今不对公众开放。

官方理由很简单：太危险。

先看几个数字。

Firefox 147漏洞利用成功率，72.4%。

前代模型是多少？不到1%。

提升了近80倍。

SWE-bench Verified软件工程能力测试，93.9%。

什么概念？顶尖黑客团队需要数周甚至数月才能完成的漏洞挖掘工作，它几小时就能搞定。

更关键的是，它不只是"发现"漏洞。

它能自主完成代码审计、漏洞定位、利用开发、沙箱逃逸的全流程。

换句话说，从"找到问题"到"利用问题"，一条龙服务。

有一个案例特别有意思。

它在Linux内核中发现了多个漏洞，然后把这些漏洞串联起来，形成了一条完整的攻击链。

从普通权限，到系统完全管控。

这就是所谓的"越权操作"。

Anthropic自己都承认，这个模型"太危险"。

危险在哪？

第一，成本结构变了。

过去，漏洞挖掘是昂贵、稀缺、依赖资深研究员的工作。

现在，AI把边际成本几乎降到了零。

第二，门槛没了。

以前你要发起一次像样的网络攻击，需要专业技能、时间、资源。

现在？一个AI模型就够了。

第三，防御跟不上。

传统安全工具依赖"特征匹配"——你得先知道漏洞长什么样，才能检测它。

Mythos不一样。它把代码当成高维信息载体，直接解析隐性逻辑缺陷。

它能发现人类分析师和传统工具都找不到的东西。

英美监管机构的反应很直接。

美国财政部召集华尔街银行开会。

英国央行、金融行为监管局、国家网络安全中心联合排查。

他们担心的不是"会不会出事"，而是"什么时候出事"。

消息出来那天，Cloudflare四天暴跌22%。

ServiceNow一度跌了40%。

为什么？

因为这些公司的商业模式建立在两个假设上：

第一，发现漏洞需要专业人类专家。

第二，利用漏洞需要时间和技能。

如果AI能以近乎零的成本，在几分钟内发现并利用漏洞，这两个假设就同时崩塌了。

"软件即服务"可能变成"漏洞即灾难"。

有个细节挺讽刺。

就在ServiceNow暴跌的时候，Claude自己发出了买入指令。

理由是："我就是ServiceNow平台内部默认的AI引擎。当你本身就是这台机器的发动机时，你不可能被自己碾压。"

AI第一次向人类展示了它的行业重构逻辑。

他们启动了一个叫"玻璃翼计划"的项目，投资1亿美元支持开源生态。

Mythos只开放给12家合作伙伴和40多家关键软件基础设施组织。

用途严格限定在"防御性网络安全"。

官方的说法是"平稳过渡"。

但我觉得，他们真正担心的是另一件事。

AI已经到了这样一个阶段：在发现和利用软件漏洞上，除了最顶尖的那批专家，模型可以超过绝大多数人类。

而且这个能力，很快就会普及。

如果落入"非安全承诺者"手中，后果不堪设想。

你可能觉得，这事儿离我很远。

其实不然。

Mythos发现的漏洞，很多存在于我们每天都在用的软件里。

浏览器、操作系统、各种App。

这些漏洞被修复后，你的安全性其实是在提升的。

但风险在于，不是所有人都会用AI来做"防御"。

技术本身是中性的，但使用它的人不是。

Claude Mythos让我想起一句话：

技术进步的速度，永远快于我们理解它的速度。

AI已经证明，它能自主攻击、自主逃逸、自主发现我们以为"安全"的系统里的漏洞。

这不是科幻，这是现实。

我们能做的，不是阻止技术发展，而是让防御能力跟上攻击能力的进化速度。

毕竟，当AI能发现27年的老漏洞时，我们最好希望它是站在我们这边的。

以上，如果觉得有用，点个赞、在看、转发三连吧。