AI发现隐藏27年安全漏洞，科技巨头联手开启防御新纪元

摘要：Anthropic推出的新型号Claude Mythos在OpenBSD系统中挖掘出尘封27年的安全缺陷，同时捕获了上千个零日漏洞。面对如此强大的能力，Anthropic决定暂不公开模型，而是携手12家科技领军企业共同发起Project Glasswing计划，让防御者率先掌握这一"AI利器"。

试想：有一段代码漏洞，自1998年起就潜伏在系统之中。

这27年间，众多安全专家曾细致审查这段代码，自动检测工具也扫描了成千上万次，但它如同鬼魅般销声匿迹，始终未被察觉。

直到人工智能横空出世。

今年四月，Anthropic推出了全新模型Claude Mythos Preview。它在OpenBSD——这个被誉为"全球最安全操作系统"的代码中，一眼洞穿了那个隐藏27年的安全漏洞。

攻击者仅需发送若干数据包，便能让任何运行OpenBSD的服务器陷入瘫痪。

这并非唯一的发现。

在FFmpeg（一个被众多软件采用的视频处理库）中，Mythos发掘出另一个历时16年的漏洞。更令人震惊的是——那段代码曾被自动化测试工具扫描高达500万次，却从未触发任何警报。

Linux内核？它独立发现多个漏洞，继而将其串联，构建出从普通用户到系统最高权限的完整提权链条。

全程无需人类指引。

你或许会问：人类审视27年都未能察觉，AI如何一眼看穿？

答案在于：AI不按套路出牌。

人类审查代码时，往往携带着某些"想当然的假设"。例如，我们认为某些代码路径不可能被触发，某些边界条件过于极端不可能出现。

但AI没有这些束缚。它会穷尽一切可能，去探索人类思维盲区中的边界条件。

以OpenBSD那个漏洞为例，它涉及TCP协议中一个名为SACK的机制。漏洞的核心在于两个极端条件的组合：一是边界检查缺失，二是有符号整数溢出。这两个问题单独来看都不致命，但组合在一起，便能让系统崩溃。

人类很难想到将这两个看似风马牛不相及的问题联系起来。但AI会——它犹如在解答一道复杂的推理题，将所有线索串联起来。

而且AI还存在一个优势：速度。

一位顶尖安全研究员，一年或许能发现几个漏洞就已相当出色。Mythos在数周内便发现了数千个。这不仅是数量的差距，而是维度的差距。

发现了如此之多的漏洞，Anthropic作何举措？

他们并未将模型公之于众。

相反，他们做出了一个史无前例的决定：召集12家科技巨头，先行修补，再考虑开放。

这项计划名为Project Glasswing（玻璃翼计划）。

参与的企业包括：亚马逊AWS、苹果、谷歌、微软、思科、英伟达、Palo Alto Networks、CrowdStrike、摩根大通……几乎涵盖了全球关键基础设施的各个领域。

核心逻辑一目了然：既然AI发现漏洞的能力已不可逆转地大幅提升，那就让"正义一方"率先使用，赶在"恶意一方"之前把漏洞修复。

Anthropic承诺投入1亿美元的模型使用额度，外加400万美元直接捐赠给开源安全组织。

超过40个维护关键软件基础设施的组织获得了模型访问权限，可以利用它扫描自身系统。

你或许会思考：这是科技巨头的事，与我有何关联？

事实上，关联密切。

首先，你使用的软件或许都存在漏洞。

Mythos已在所有主流操作系统和浏览器中发现了高危漏洞。你手机上的应用程序、你公司的服务器、你银行中的系统——无一例外。

区别仅在于：这些漏洞是被"正义一方"先行发现，还是被"邪恶一方"先行利用。

其次，攻与防的时间窗口已然崩塌。

过去，从漏洞被发现到被黑客利用，可能需要数月之久。如今有了AI，这个时间或许会压缩至几分钟。

CrowdStrike的技术负责人说了一句极为贴切的话："漏洞从被发现到被攻击者利用的窗口已经崩塌。"

再次，开源软件是最薄弱的环节。

在现代系统中，开源代码占比高达80%以上。但开源维护者大多缺乏专项预算来聘请安全团队。

Anthropic向开源社区开放Mythos，正是为了填补这一空白。

Anthropic打造了一把能够打开全世界所有"锁"的钥匙。

随后他们并未据为己有，而是携手12家巨头，先将所有的锁更换了一遍。

这才是这个故事最发人深省之处。

AI能力正在迅速进化，这一趋势已不可逆转。问题是：我们该如何应对？

Anthropic给出的答案是：让防御者率先用上最强的武器。

Project Glasswing并非终点，它是AI网络安全竞赛的起跑线。

未来，AI挖掘漏洞将成为常态。安全审计的方式将被彻底重构。攻与防的节奏将从"人类速度"转变为"机器速度"。

对于每一位编写代码、使用软件的人来说，这都是一個警示："代码运行多年无问题"这种安全假设，已不再成立。

AI会找到你藏得最深的缺陷——或许是27年前埋下的那个。