Anthropic-Mythos-AI安全模型-编程阁

Anthropic 发布 Claude Mythos：当 AI 开始主动"挖虫"，网络安全格局悄然改变

关键词：AI安全、漏洞挖掘、Project Glasswing、Claude Mythos

事情是怎么发生的

2026年4月7日，Anthropic发布了Claude Mythos Preview模型。这个消息本来没什么特别——大模型发布已经是家常便饭了。但仔细看公告内容，你会发现这次不太一样。

Anthropic没有发布通用模型，而是联合苹果、微软、英伟达、AWS、谷歌、博通、思科、CrowdStrike、摩根大通、Linux基金会、Palo Alto Networks在内的12家机构，启动了一个叫做Project Glasswing的项目。Mythos模型的首批用途，不是写代码、不是客服问答，而是专门去挖软件里的安全漏洞。

这是AI第一次以如此规模、如此正式的方式进入网络安全攻防领域。

Mythos 到底有多能"抓虫"

官方给出的数字很具体：

在数周内，Mythos自主识别了数千个零日漏洞，覆盖主流操作系统和浏览器
发现了OpenBSD中一个已存在27年的远程崩溃漏洞
定位到FFmpeg中一个经过500万次模糊测试都未检出的16年老旧漏洞
能自主串联Linux内核中多个看似无关的漏洞，最终实现权限提升

从基准测试数据看：

SWE-bench Verified：78.5%（Claude Opus 4.6是70.1%）
Terminal-Bench 2.0：92.1%
CyberGym网络安全基准：显著超越前代

有一个细节值得关注：传统的漏洞扫描工具（比如静态分析、模糊测试）主要处理孤立的、有固定模式的漏洞。而Mythos展现出的是多步推理能力——它能从A漏洞推理到B漏洞，再推导出组合后的C危害，这种思维方式更接近真实黑客的攻击路径。

为什么只给12家公司用，而不公开

Anthropic在公告里很直白地说：这个模型具有"双重用途"的风险。

这不是谦虚，而是真实的困境。一个能自动发现零日漏洞的AI，放在防御方手里是神器，放在攻击方手里也是神器。

所以他们选择了一条中间路线：

先在可信机构中小范围测试
Anthropic承诺提供1亿美元的模型使用额度支持安全研究
向Linux基金会和Apache软件基金会捐赠400万美元，专门用于开源软件的安全维护
90天内公开进展，并与政府机构共同制定AI安全实践标准

这个思路和早年比特币圈的"负责任披露"有几分相似：在漏洞被坏人利用之前，先把补丁推出去。只不过这次推进速度要快得多——AI让漏洞从被发现到被利用的时间窗口从数月缩短到了数分钟。

对开发者意味着什么

防御侧

如果你维护开源项目，这件事值得认真对待。Mythos能识别的漏洞类型，很多是现有工具（Valgrind、AFL++、Semgrep）扫不出来的。未来一段时间内，可能会有大量"史前漏洞"集中爆出来。

一个建议是提前梳理一下自己项目的安全债：

# 一个简单的起点，检查已知CVEpipinstallsafety safety check# 对C/C++项目，启用地址消毒器gcc-fsanitize=address-gyour_code.c

攻击面理解

Mythos揭示了一类特别危险的漏洞类型：时序问题（Race Condition）。FFmpeg那个16年漏洞，本质上就是并发状态下的内存操作顺序问题，人眼极难察觉。写C/C++嵌入式代码的开发者需要对这类代码多加警惕：

// 危险：多线程环境下的裸指针操作voidprocess(char*buf,size_tlen){staticchar*cached=NULL;if(cached==NULL){cached=malloc(len);// 竞态窗口在这里}memcpy(cached,buf,len);}// 安全：加锁保护pthread_mutex_tlock=PTHREAD_MUTEX_INITIALIZER;voidprocess_safe(char*buf,size_tlen){pthread_mutex_lock(&lock);staticchar*cached=NULL;if(cached==NULL){cached=malloc(len);}memcpy(cached,buf,len);pthread_mutex_unlock(&lock);}