首页 > 科技 > AI时代:数字安全面临前所未有挑战
标签

AI时代:数字安全面临前所未有挑战

发布时间:2026-05-31 10:25来源:微信阅读:4

先给你一个数字:6%。

这意味着什么?Anthropic那款强大到不敢公开的AI模型Claude Mythos,在短短30天内挖掘出的10000个高危漏洞中,截至目前实际被修复的比例。

你看得没错:1万个漏洞,已经被发现了;人类程序员辛辛苦苦进行修复,6周时间过去了,修复完成的还不到600个。

剩余的9400多个呢?就那样暴露着,部署在全球几十亿台设备上,等待被恶意者所利用。

你可能会疑惑:AI发现漏洞不是非常厉害吗?怎么修复漏洞如此不给力?

这就对了——这才是今天我想向你揭示的真相。

先简单介绍一下这个模型的背景。

2026年4月,Anthropic启动了一个名为Project Glasswing的计划,核心是这个称为Claude Mythos Preview的模型。

它的使命只有一个:发现漏洞。

结果如何?

30天内,挖掘出超过10000个高危或严重漏洞

覆盖所有主流操作系统和浏览器

准确率高达90.6%(经6家独立安全公司交叉验证)

这意味着什么?

一位资深安全研究员,寻找一个复杂漏洞,可能需要几周甚至几个月。Mythos呢?发现OpenBSD一个隐藏了27年的漏洞,成本不足50美元——也就是几杯咖啡的费用。

更令人震惊的是,它不仅能发现漏洞,还能自主构建攻击路径。

什么是攻击路径?就是将几个单独看似不起眼的漏洞,串联起来使用——先绕过A,再利用B,最终获取你电脑的完全控制权。这个工作以前只有顶级黑客才能完成,现在AI也会了。

Mozilla Firefox使用它一个月,修复了423个安全漏洞。同比增长了20倍。

让我给你列举几个Mythos的战果,每一个都足以登上新闻:

OpenBSD 27年漏洞:这个被誉为全球最安全操作系统之一的系统,被AI发现了一个从1998年就存在的远程崩溃漏洞。有多严重?你只需要给它发送一个TCP数据包,就能让任何一台OpenBSD服务器当场蓝屏崩溃。

wolfSSL证书伪造漏洞:wolfSSL是一个开源密码学库,全球超过50亿台设备(路由器、智能汽车、物联网设备、工业控制系统)都在使用它。Mythos在这个库中发现了一个8年前的逻辑漏洞,CVSS评分高达9.5——满分10分那种。

这个漏洞可怕在哪?黑客可以用它伪造任何网站的数字证书,制作出难以区分的假银行网站,你浏览器看着是安全的HTTPS,实际上是骗子搭建的。

FreeBSD 17年远程代码执行漏洞:这个更绝。Mythos不仅发现了漏洞,还自主构建了一条跨越6个连续请求的ROP链,直接从互联网任意位置获得服务器的root权限——整个过程完全自主完成,没要人类插一手。

好了,现在你知道了:AI发现漏洞,确实厉害。

但问题来了:发现了,然后呢?

一位安全专家在X上绝望地说了一句话,我觉得应该铭刻起来:

"我们这群人类安全专家,看起来就像是拿着长矛的原始人,看着一架F-22战斗机从头顶飞过。"

为什么这么说?

因为Mythos发现的这10000个漏洞,目前只修复了600多个。不是工程师不努力,是真的修复不过来。

你想啊:

一个高危漏洞,人类程序员平均要修复两周

10000个漏洞,理论需要384年

而且这还是理想情况——实际上很多开源项目就几个志愿者维护,根本没有工程师

这就出现了一个诡异的局面:

AI发现漏洞的速度越快,我们反而越危险。

因为漏洞被好人们发现了,但还没修复好。这个窗口期,就是最大的攻击面。

Anthropic自己都说了:没有任何一家公司目前有足够的防护措施来应对Claude Mythos能做的事。

这不是谦虚,这是实话。

说到这,有人可能会问:既然AI能发现漏洞,坏人是不是也能用AI发现漏洞?

答案是:当然能。

Claude Mythos今天不对公众开放,是因为Anthropic觉得它太危险了。但其他公司、其他国家、犯罪团伙,他们迟早也会开发出类似的东西。

甚至可能已经开发出来了,只是没告诉你。

AI发现漏洞这事儿,本质上是一把双刃剑:

好人用它:30天扫描10000个漏洞,批量修复

坏人用它:30天挖掘出10000个漏洞,批量攻击

谁先到,谁赢。

Anthropic的策略是:先让好人用起来,联合Google、微软、苹果、亚马逊这些巨头,组成防御联盟。但这个策略能撑多久?谁也不知道。

说了这么多,你可能会觉得这是大公司的事,跟我没关系。

错了。

wolfSSL的漏洞影响的是50亿台设备——你的手机、你的车、你家用的路由器、你公司连的工业设备,很可能都在里面。

Mythos找到了那些漏洞,目前正在慢慢修复。但修复的速度,能不能赶上坏人掌握类似能力的速度?

这是一个没有答案的问题。

唯一确定的是:AI时代的安全游戏,规则已经彻底变了。

过去是找不到就是安全,现在变成了被好人先找到才是安全。

找到漏洞的,不再是顶级黑客,而是越来越便宜、越来越快的AI。

修漏洞的,还得是那帮秃头的程序员。

这个不对称,才是真正的危机。

下次你看到新闻说AI又发现了一个史诗级漏洞的时候,先别急着鼓掌。问问自己:修复好了吗?

如果没修复好,那个漏洞,比没被发现更危险。

← 上一篇:AI每日学堂:深度解析Q-Learning与DQN算法:它们如何与Transformer联手改变AI 下一篇:AI 浪潮下的就业变局与应对 →