代码安全AI神话破灭：Anthropic的Mythos只是块瑞士奶酪

一家AI公司给产品起名"Mythos"（神话），结果成了自我实现的预言——不过是反过来的那种。

Anthropic的代码安全模型Mythos最近进入公众视野，带着Project Glasswing的封闭测试和一堆期待。但仔细拆解它的实际能力，你会发现这个名字的讽刺意味：它确实像神话一样，部分是信念，部分是现实，中间还有不少漏洞。

它能做什么：把专家知道的东西自动化

Mythos的核心价值很实在——它能批量处理人类安全专家已经掌握的那套工作。

已知漏洞类别？找得又快又准。需要人工逐行审计的枯燥环节？大幅压缩。对于已经有成熟安全团队的企业来说，这是趁手工具。

但原文的观察很直接：它"非常擅长发现人类已知的漏洞类别，同时找不到人类不知道的"。

这不是贬低。任何经历过AI代码助手幻觉的开发者都懂，一个"知道自己不知道什么"的工具，比瞎猜的强百倍。Mythos的边界感，恰恰是它负责任的地方。

Project Glasswing：一场有节制的实验

Anthropic没有开放下载，而是把早期使用限制在"有真实需求的可信合作伙伴"。

这种做法在AI圈显得反常。竞争对手的同类模型已经能公开获取，Anthropic却选择慢半拍。两种解读：

cynic（愤世嫉俗者）说这是营销表演，用稀缺性造神话；

optimist（乐观派）看到的是一个AI公司罕见地先想后果再发产品。

原文的立场偏向后者：把这看作"更好未来的早期 glimpse（ glimpse）"。不是终点，是起点。

更大的图景：代码安全的工业时代前夜

一个被忽略的事实：绝大多数正在运行的代码，诞生于"前工业化"的漏洞检测时代。

人眼审计，手工排查，依赖个人经验——这是现状。把全自动化的漏洞狩猎机器人突然扔进这个环境，"会很混乱"。

但过渡期终将过去。原文提出一个关键区分：

已部署代码 vs 未部署代码。

后者是安全的绝对保证——不存在安全风险的代码只有一种，就是还没上线的代码。新代码总有各种问题，但问题数量是有限的。如果在发布前用上真正优秀的工具，代码可以被做到真正优秀。

之后坏家伙拿到同款工具？不重要。漏洞在上线前已被消灭。

航空业的隐喻：从掉飞机到可追溯

原文频繁引用航空安全作为模型，这个类比值得展开。

喷气时代初期，新客机带着结构和机械缺陷上天，确实会掉下来。随着时间推移，设计知识、材料科学、工程规范、监管体系同步进化。现在仍有坠机，但原因变得可预期、可追溯——"本该做对却没做对的事"，而非"从未见过的神秘故障"。

代码安全正在走这条路。Mythos们不是终点，是演化中的一个节点。

inevitability（ inevitability）：没有长期秘密

两个命题指向未来：

第一，这类工具的效果会持续进化，暴露更多结构和个体代码缺陷；

第二，它们终将普及。多快、多便宜或许可控，但结果不可避免。

IT领域没有长期秘密。封闭测试是暂时的，技术扩散是永恒的。

Anthropic的"瑞士奶酪"策略——有孔洞但结构完整，有限开放但方向正确——可能是穿越过渡期的务实选择。神话会褪色，但工业化不会停止。等到机器人可以任意漫游的那一天，希望我们已经把该修的修完了。

毕竟，让漏洞在上线前被AI发现，总比上线后被黑客发现便宜得多。这个账，连最 cynic 的CTO都会算。