周鸿祎：美国Mythos改变攻防规则，AI打造新型网络核武器

一个没公开的AI模型，居然能挖出隐藏27年的漏洞？美国Anthropic研发的Mythos刚被曝出，就让全球网络攻防圈彻底炸锅。

它不需要人类插手，几分钟就找到OpenBSD里潜伏27年的漏洞，几小时搞定FreeBSD存在17年的远程代码执行漏洞，连FFmpeg那种躲过500万次模糊测试的漏洞都逃不过。

过去顶尖黑客团队要花几年的活，AI现在几小时就完成，漏洞发现成本拉低近百倍，效率提升两个数量级！这哪里是技术进步，简直是把网络攻防的游戏规则给掀翻了。

漏洞是网络攻防的核心战略资产，过去有多金贵？

一个能控制Windows的零日漏洞，黑市能卖上百万美元；沙特曾花6000万美元买iPhone的漏洞。发现一个有价值的漏洞，往往要顶尖团队耗上几年，结果还不一定成，周鸿祎把这比作“中彩票”。

这个月中了，下个月未必有，所以漏洞极度稀缺。正因为稀缺，全球攻防才维持着脆弱的平衡：攻击方手里没几个漏洞，防守方也不用面对千疮百孔的威胁。

但Mythos的出现打破了一切，它不是专门的安全模型，只是大模型推理能力进化的副产品，却能批量“开采”漏洞，72.4%的漏洞利用成功率，让安全专家都倒吸冷气。

周鸿祎说，如果攻击方用Mythos扫代码库，能拿到比原来多几百倍的漏洞，被攻击方就像筛子一样到处是破绽，形成单向透明的禁地。传统防御体系彻底失效，因为过去靠“漏洞不多”建的防火墙、入侵检测设备，在沙子一样多的漏洞面前，根本挡不住。

更让人不安的是，Anthropic联合AWS、苹果、谷歌、微软等12家科技巨头，组建了“玻璃翼”联盟，把Mythos封闭在只有盟友能用的安全圈里。

表面说是防止恶意利用，实际是构建排他性防御网络：盟友之间互相扫漏洞、共享情报、提前修补，形成双向透明的闭环。而圈外的国家和企业，面对的是单向透明的攻击劣势。加拿大财长把这威胁比作霍尔木兹海峡关闭，周鸿祎直言：“他们担心技术扩散后，自家公司的漏洞被挖，所以拉帮结派，中国肯定被排除在外。”

中国本来就是网络攻击的重灾区，360过去20年发现60个针对中国的APT组织，数量全球第一，有的甚至在核心机房潜伏10年。现在AI挖漏洞的能力，让渗透门槛急剧降低，规模放大，威胁更甚。

但中国网络安全行业不是束手无策。周鸿祎说，360三年前就确立“AI+安全”双线战略，保密研发了两类智能体：代码漏洞自动挖掘智能体和自动防御智能体。

前者不仅能扫源代码，还能扫二进制代码，连Windows这种没源码的系统，都能批量稳定持续发现漏洞，全程自动完成。

目前累计发现近1000个漏洞，50个是国家高危，最近公布的Windows内核提权漏洞和Office远程代码漏洞，潜伏期5年和8年，影响10亿用户，已提交微软并获致谢。和Mythos的“纯大模型无安全训练”路线不同，360走的是“大模型+安全专家蒸馏”——把20年的攻防样本、漏洞战术、顶级白帽子经验，通过蒸馏赋能智能体。

哪种路线更好还不好说，但都能批量挖高危漏洞，这就是AI时代的“网络核武器”，决定国家攻防主动权。

漏洞挖掘只是第一步，真正改变格局的是智能体对黑客能力的批量复制。周鸿祎预判：2024是大模型年，2025是智能体年，2026是百亿智能体年。智能体的核心是“蒸馏”——把顶级黑客的经验做成技能包，让智能体学，哪怕每个只有六成能力，有算力就能复制100个、1000个甚至1万个。

这些智能体不用睡觉吃饭，7×24小时工作，在每个攻击路径上反复试。过去国家发动攻击靠几支战队、几个漏洞，现在1万个智能体同时围攻，任何关键单位都可能不堪一击。

攻防变成了算力对抗算力、智能体对抗智能体。360的应对是加速研发防御智能体，实现“无人驾驶式”安全运营：侦测、响应、溯源、反制全流程交给智能体集群，人类只做战略决策。

不过智能体本身也有漏洞和后门风险。周鸿祎区分了两种：专用智能体任务明确、工具受限，封闭环境运行安全；通用智能体啥都能干，反而最容易出问题。他预言：“人类在AI上出问题，一定是通用智能体。要尽量搞专用的，在受控环境按规则工作。”

未来几年，网络攻击的频次、广度、深度至少跃升10倍，关键基础设施、政府单位、大企业会进入高发期。胜负手就是谁先用智能体和算力构建新一代攻防体系。周鸿祎说：“有心人会用Mythos挖中国更多漏洞，加大攻击强度，必须防。它会颠覆传统安全规则。”

Glass Wing已经把门关上了，但中国正在造自己的钥匙。你觉得AI会让网络安全更危险还是更安全？评论区说说你的看法！