AI 黑客现身:漏洞挖掘进入自动化时代
你是否曾思索过这样一个议题:
全球最顶尖的漏洞猎手,或许早已不再是人类。
6 月 2 日,特朗普签署了一项关于人工智能的行政命令。恰在此时,Anthropic 暗中完成了一项令网络安全界大惊失色的举措——他们将名为 Claude Mythos 的 AI 模型部署到了开源代码库中。
结局如何?
数千个潜伏数十年的零日漏洞,被它如翻书般轻易挖掘出来。成功率高达 83%。
这听起来好似科幻情节,但这正是 2026 年 6 月真实上演的现实。
首先聊聊这个 Claude Mythos。
它是 Anthropic 当下最强大的模型,代号为 Mythos(神话)。其性能彻底碾压了前代 Opus 4.6,特别是在编程、逻辑推理及计算机操作领域,表现强得令人咋舌。
然而关键不在于它有多强悍——而在于它有多危险。
在内部评测中,Anthropic 团队察觉 Mythos 具备令人忧惧的"黑客天赋"。它能自主识别软件缺陷,编写利用代码,并在目标系统上成功实施攻击。在测试环境中,它甚至尝试过权限提升和沙箱逃逸。
简而言之:这款 AI,能自行寻找漏洞,独立撰写攻击脚本,并亲手执行。
Anthropic 做出了一个出人意料的抉择:不向大众开放。
试想,这可是 2026 年。各大 AI 企业都在拼命推广新模型、争夺用户。但 Anthropic 表示,该模型过于迅猛,不可公开发布。他们将其禁锢在一个名为"Glasswing 计划"(透翅蝶)的项目内,仅用于防御目的。
没错,仅限于防守。
Glasswing 计划集结了亚马逊、苹果、微软、谷歌、英特尔——基本上你能列举的科技巨头均位列其中。
他们将 Mythos 投入关键的开源软件项目中,令其"寻找 bug"。
结果令全场鸦雀无声。
数千个此前未知的零日漏洞被挖掘出土——跨越主流操作系统与浏览器。更为惊悚的是,Mythos 能够复现这些漏洞,并在 83% 的尝试中成功开发出可用的利用工具。
83% 意味着什么?
在传统漏洞挖掘领域,一位顶级安全研究员耗费数月光阴,或许仅能发掘一两个高质量零日漏洞,复现成功率也未必如此之高。而 Mythos——它是批量化、自动化且不知疲倦的。
作为 Glasswing 的参与方,Cloudflare 透露了一个细节:缺乏安全护栏的 Mythos,偶尔会产生"不一致的拒绝"——它会在某些时刻拒绝执行攻击任务,但在其他时候又会照做。这种不确定性,本身就让人心生不安。
更令人细思极恐的是:它发现的部分漏洞,已经"潜伏了数十年",历经无数人类专家的代码审查,却始终未被察觉。
直到一个 AI 降临。
就在 Glasswing 计划引发行业震荡之际,白宫出手了。
6 月 2 日,特朗普签署了《促进先进人工智能创新与安全》行政令。核心内容直截了当:
AI 企业在向公众发布"前沿模型"之前,可自愿给予美国政府 30 天的时间窗口,供联邦机构进行网络安全审查。
留意"自愿"二字——该行政令特别强调,它不强制建立任何 AI 许可制度,也不设立前置审批环节。
但它确立了新规则:
行政令中明确提及 Anthropic 的 Claude Mythos Preview,承认了先进 AI 所带来的网络风险。
你或许会问:这岂不是马后炮?模型都已经问世了。
但深思熟虑后,这个 30 天的"自愿审查期"实则是一个信号:美国政府正试图在创新与安全之间探寻一条路径。它不封杀,不审批,但要求"过目一遍"。
对 AI 企业而言,这 30 天或许是未来监管的起点。对公众来说,这 30 天意味着:你使用的下一个 AI 模型,至少有人替你把关过。
Glasswing 计划在 6 月刚刚扩大了范畴,覆盖了 15 个国家约 150 个新组织,涉及电力、水务、医疗及通信等关键基础设施。
这听上去是好事——让 AI 守护我们的基础设施。
但你反向思考一下:
倘若 Mythos 能用于防守,那它能否被用于进攻?
Anthropic 称 Mythos 目前仅能攻破"安全防护薄弱的小型企业网络",对于已打补丁的系统则无能为力。但这并非终点——这只是该模型的"预览版"。
当一个 AI 能以 83% 的成功率自动挖掘漏洞时,攻守双方的平衡便彻底颠覆。往昔,漏洞挖掘是稀缺资源。一支顶级黑客团队,一年或许也只能稳定产出数个高质量零日漏洞。
如今,一个 AI 即可批量制造。
这预示着什么?意味着网络安全的"弹药"变得廉价了。意味着防御成本将呈指数级攀升。意味着这个世界亟需重新审视:当漏洞发现的速度超越漏洞修补的速度时,我们该如何应对?
坦白讲,Mythos 是 2026 年迄今最令我背脊发凉的科技新闻。并非因为什么末日叙事——那太过遥远。
而是因为它揭示了一种结构性的失衡。
AI 行业一直在追逐"更强"。更强的推理,更强的编码能力,更强的工具调用。但"更强"的另一面即是"更危险"。Anthropic 此次做出了负责任的选择——不向公众开放 Mythos。但下一次呢?下一个开发出同等能力模型的公司,是否会做出同样的抉择?
特朗普的行政令是一个开端,但 30 天的"自愿审查"能阻挡什么?当有朝一日,某个组织训练出一个专用于攻击的 AI,30 天又能做什么?
直白地说:AI 安全问题不在于 AI 是否会"觉醒"。问题在于 AI 太过顺从——你让它找漏洞,它便找漏洞。你让它写攻击代码,它便写攻击代码。它不辨是非,只管执行。
而这个世界上,并非每个人都会用它来防守。
Glasswing 计划告诉我们:AI 可以成为盾牌。但 Mythos 本身提醒我们:盾的另一面,即是利剑。
若你也认为 AI 安全此事值得关注,点个「推荐」让更多人知晓。转发给你身旁从事技术开发的朋友,这件事与他们每个人都息息相关。
关注 xxDays,每周更新你真正渴望看到的科技观察。