來源：安全內參

Anthropic Mythos預覽版模型發布以來在網絡安全領域評價毀譽不一，有認為許多其他模型和智能體也具備類似能力，Mythos并不神奇；有認為Mythos將推動漏洞利用鏈的規模化發現，將極大降低類似間諜軟件的復雜攻擊門檻；還有認為，Mythos可能成為軟件開發安全變革的起點，推動安全設計普及。

由于漏洞挖掘與利用能力太強，該模型目前僅對美西方核心企業開放，美英德加等國政府緊急評估影響，美國政府鼓勵系統重要性金融機構應積極使用以提升網絡防御能力，德國聯邦信息安全辦公室負責人稱中期傳統漏洞（代碼語法和內存漏洞）或不復存在。

安全內參4月13日消息，Anthropic公司在上周發布最新的大模型Claude Mythos預覽版，并宣稱它標志著網絡安全演進中的一個關鍵節點，將對現有軟件防御策略構成前所未有的生存性威脅。本文將深入探討這究竟只是又一輪AI炒作，還是一個真正的轉折點？

根據Anthropic的說法，Mythos已經跨越關鍵能力門檻，能夠在幾乎所有操作系統、瀏覽器及各種軟件產品中發現漏洞，并可自主生成并運行的攻擊利用代碼。鑒于這一能力，該公司目前僅將該模型，提供給數十家加入旗下Glasswing網絡安全計劃的機構，包括微軟、蘋果、谷歌、思科及Linux基金會。

在圍繞生成式AI如何影響網絡安全的多年討論之后，近一周的消息引發了廣泛爭議：所謂的大考是否真的到來，以及它在現實中將以何種形式呈現。

網絡安全專家意見不一，

但均認同AI已具備漏洞挖掘利用能力

部分人士對Anthropic的說法持高度懷疑態度。他們認為，現有AI智能體已經能夠幫助用戶以更低成本、更高效率發現并利用漏洞，這一趨勢確實推動企業改進漏洞發現與修補流程，但并未從根本上改變安全范式。

有人認為這種狂熱被夸大了，它只是整個AI炒作周期的一個片段。“這就像經典的意大利西部片情節，傳教士們宣稱末日即將來臨，然后卷起大家的錢逃之夭夭，”資深安全與合規顧問達維·奧滕海默說。“這確實是一種轉變，就像當別人還在用手動步槍時，你卻學會了用機關槍作戰，但這并不神秘和魔幻。”

此外，也存在一種令人不安的現實，即Anthropic很可能通過將其最新模型塑造成神秘、強大且具有稀缺性的產品而獲得商業收益。

不過，另一些研究人員和從業者則認同Anthropic的評估，并指出公司已明確表示Mythos只是首個具備此類能力的模型，這些能力最終將擴散至更多系統中。

云安全公司Edera的首席技術官Alex Zenla表示：“我通常對此類說法持懷疑態度，開源社區也是如此。但從根本上講，我確實認為這是一種真實存在的威脅。”

Zenla及其他專家特別強調，Mythos預覽版在“漏洞利用鏈”方面的能力是一個關鍵轉折點。所謂漏洞利用鏈，是指一組可以按順序被利用、從而逐步深入攻陷目標系統的漏洞組合，其復雜程度類似魯布·戈德堡機械式的超復雜連鎖裝置。許多高級攻擊技術都依賴此類利用鏈，包括零點擊攻擊，這類攻擊無需用戶任何操作即可入侵系統。

長期從事安全工程與研究的Niels Provos表示：“我們早已生活在一個充滿漏洞的軟件與硬件環境中，而修補這些漏洞本身就極具挑戰。許多企業缺乏保護其基礎設施的能力，這一點并沒有發生本質變化。但據我了解，Mythos在構建多階段漏洞方面表現出色，并能夠提供可驗證的利用證明。這不會改變問題的本質，但會顯著降低發現和利用漏洞所需的技術門檻。”

網絡攻防能力太強，

目前僅對美西方核心企業開放

目前，Mythos預覽版僅在Glasswing項目參與者中有限開放，這為防御方提供了一個短暫的窗口期，使其能夠利用該模型識別自身系統中的弱點，并提前調整軟件開發流程、更新周期以及補丁部署策略，以應對未來攻擊者獲得類似能力的局面。

行業領袖似乎已開始重視這一警示。上周二，Anthropic的前沿紅隊負責人Logan Graham在接受外媒WIRED采訪時表示，在公司正式發布公告之前，與各組織就Glasswing項目溝通的過程中，電話交流逐漸變得簡短，因為潛在威脅已愈發明顯。

Graham表示：“這不僅是某一家公司的問題，而是所有模型開發者都必須面對的挑戰。我們的目標是推動整個過程盡早啟動。讓Mythos盡快進入防御者手中，以爭取先發優勢至關重要。”

思科公司總裁兼首席產品官杰圖·帕特爾在舊金山舉辦的HumanX AI會議上表示，Mythos“是一個非常非常重要的事情”。

“從長遠來看，你必須確保防御能力達到機器速度，因為攻擊已經是機器速度了，”帕特爾說。“如果我有數十億個代理人要攻擊我的基礎設施，我需要確保能夠有效防御它。Anthropic的做法非常棒，因為它有效地增強了抵御惡意攻擊者的能力。”

美英德加等國政府緊急評估影響，

中長期傳統漏洞或不復存在

關注Mythos模型影響的人群遠不止科技公司。據彭博社報道，美國財政部長斯科特·貝森特和美聯儲主席杰羅姆·鮑威爾上周二在華盛頓特區財政部總部，召開了一場金融行業領袖會議，討論像 Mythos這樣的模型對網絡安全的潛在影響。

所有被召集參會的銀行均被認定為“系統重要性金融機構”，其穩定性對全球金融體系至關重要。知情人士指出，美國政府官員并未提及任何針對金融機構的具體威脅，而是鼓勵銀行們將該模型應用于自身系統，以提升防御能力。

英國《金融時報》報道稱，英國金融監管機構正與政府網絡安全部門及主要銀行召開緊急會議，以評估Anthropic最新AI模型帶來的潛在風險。

英格蘭銀行、金融行為監管局以及財政部官員已與國家網絡安全中心展開會談，重點審查該模型所揭示的關鍵IT系統潛在漏洞。預計在未來兩周內，英國主要銀行、保險公司及交易所的代表將參加監管機構組織的會議，聽取關于Claude Mythos預覽版所帶來網絡安全風險的專題簡報。

德國網絡安全機構負責人在接受外媒POLITICO采訪時表示，Anthropic發布的這一強大新模型標志著“網絡威脅性質的范式轉變”。

德國聯邦信息安全辦公室負責人Claudia Plattner表示，該機構正就Mythos模型與Anthropic保持積極溝通。他認為，Anthropic Mythos模型意味著在中期內，我們可能會達到一個臨界點：未知的傳統軟件漏洞將徹底不復存在。

加拿大財政部一位發言人表示，該部門已于上周五與加拿大央行及多家銀行高管召開會議，討論網絡安全問題。發言人指出，AI以及Anthropic的新模型也是會議的重要議題之一。

Anthropic Mythos能否成為

軟件開發安全變革起點？

有人認為，鑒于一種思維轉變要在所有行業和組織中普及需要很長時間，抓住特定事件或技術突破作為提高意識的契機是有價值的。

此前幾次網絡安全領域的重大覺醒都源于災難性漏洞事件，比如針對谷歌的極光攻擊凸顯了"零信任"架構的重要性，Solarwinds和Log4shell黑客攻擊潮則推動了"安全設計"理念的軟件開發方式。

Anthropic認為，Mythos預覽版的發布可以作為一個更為審慎的轉折點，因為它只是對未來可能性的預警，而非最壞情況的真實演示。

安全專家們還表示，這一時刻也是解決當前軟件開發中固有缺陷的契機。

"幾十年來，我們建立了一個龐大的全球產業，用于防御、檢測和響應那些本不該存在的'漏洞'——軟件中的缺陷和問題，"資深網絡安全從業者、前美國網絡安全與基礎設施安全局局長珍·伊斯特利撰文寫道。

她認為，Glasswing計劃有望開啟"一個AI幫助我們走出無休止打補丁的循環，轉向從一開始就構建更安全的技術。這不是網絡安全使命的終結，而是我們所熟知的傳統網絡安全的終結開端。"

Edera公司的Zenla強調，Mythos預覽版并非一道能在一夜之間改變一切的閃電。相反，她說，這是通往安全領域"無限猴子定理"（無限只猴子在無限打字機上敲出莎士比亞作品）的又一步。

"如果你有一百萬個漏洞研究員，他們能發現大量bug。但人類并不擅長在腦海中長時間保持大量上下文信息，因此發現能夠串聯利用的、很長的漏洞鏈一直很少見，"她說，"Mythos 和類似模型將加速攻擊者將漏洞組合成可利用集合的速度。有些人會為此長期不滿，但我確實認為格局已經改變了。"

參考資料：安全內參綜合

閱讀最新前沿科技趨勢報告，請訪問21世紀關鍵技術研究院的“未來知識庫”

未來知識庫是 “21世紀關鍵技術研究院”建 立的在線知識庫平臺，收藏的資料范圍包括人工智能、腦科學、互聯網、超級智能，數智大腦、能源、軍事、經濟、人類風險等等領域的前沿進展與未來趨勢。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進入。

截止到2月28日 ”未來知識庫”精選的百部前沿科技趨勢報告

（加入未來知識庫，全部資料免費閱讀和下載）