Anthropic发布AI漏洞挖掘模型Mythos引发网络安全担忧

多年来，信息安全社区最大的担忧一直是量子计算机可能会破解所有经典加密技术，暴露全世界的机密。现在他们又有了一个新的威胁：一个能够生成零日漏洞的AI模型。

Anthropic开发了这个模型并将其命名为Mythos。幸运的是，这家AI公司决定不发布它，因为它会以一种不好的方式"破坏互联网"。

"AI模型的编程能力已经达到了一个水平，除了最熟练的人类之外，它们在发现和利用软件漏洞方面可以超越所有人，"该公司表示。

Mythos与Claude Opus 4.6明显不同，Anthropic最近还说Opus 4.6在开发有效漏洞利用代码方面并不熟练。Opus 4.6的漏洞利用开发成功率仅略高于零，而Mythos Preview生成有效漏洞利用的成功率达到了72.4%。

Anthropic所描述的实际上就是一个零日漏洞引擎："Anthropic没有正式安全培训的工程师要求Mythos Preview在一夜之间找到远程代码执行漏洞，第二天早上醒来就发现了一个完整的、有效的漏洞利用程序。"

幸运的是，Anthropic没有发布Mythos，而是选择向一组行业合作伙伴提供预览版本，这样他们就可以在对手之前用它来发现自己系统中的漏洞。

这家AI公司将其有限发布计划称为Project Glasswing。参与者包括：亚马逊云服务、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks。

当这些科技行业的正面力量用据说具有敏锐洞察力的Mythos扫描自己的系统时，Anthropic还邀请了大约40个其他组织参与这次内省式的漏洞搜寻，为他们提供高达1亿美元的Mythos Preview使用额度，并向开源安全组织直接捐赠400万美元。

如果这听起来有点像纵火犯在分发灭火器，那么你太愤世嫉俗了。

关于Mythos的消息上个月就泄露了，当时Anthropic的一份博客文章草稿浮出水面。周二发布的详细信息为安全社区描绘了一幅严峻的画面："在我们的测试中，我们发现当用户指示时，Mythos Preview能够识别并利用每个主要操作系统和每个主要网络浏览器中的零日漏洞。"

作为周二发表文章作者的22名Anthropic研究人员坚持认为，这些漏洞通常很微妙且难以检测。有些漏洞已经存在了几十年，比如OpenBSD中现已修补的27年历史的漏洞。

"它构建的漏洞利用不仅仅是普通的堆栈粉碎漏洞利用（尽管我们将展示它也能做到这些）。在一个案例中，Mythos Preview编写了一个网络浏览器漏洞利用程序，将四个漏洞链接在一起，编写了一个复杂的JIT堆喷射，逃脱了渲染器和操作系统沙盒。它自主获得了Linux和其他操作系统上的本地权限提升漏洞利用，通过利用微妙的竞争条件和KASLR绕过。它还自主编写了FreeBSD NFS服务器上的远程代码执行漏洞利用，通过将20个小工具的ROP链分割到多个数据包中，为未经身份验证的用户授予完全的root访问权限。"

据Anthropic称，Mythos识别出了"数千个额外的高危和严重漏洞"。该公司正在负责任地披露这些漏洞。

Q&A

Q1：Mythos是什么？它有什么特殊能力？

A：Mythos是由Anthropic开发的AI漏洞挖掘模型，其核心能力是能够自动发现和利用软件零日漏洞。与之前的Claude Opus 4.6模型相比，Mythos的漏洞利用成功率高达72.4%，而Opus 4.6的成功率仅略高于零。

Q2：为什么Anthropic不直接发布Mythos模型？

A：因为Mythos具有极强的漏洞挖掘能力，能够在每个主要操作系统和网络浏览器中发现零日漏洞，如果公开发布会对网络安全造成严重威胁。因此Anthropic选择将其限制性地提供给行业合作伙伴，用于提前发现和修复安全漏洞。

Q3：Project Glasswing是什么项目？

A：Project Glasswing是Anthropic的有限发布计划，向包括亚马逊、苹果、微软、谷歌等在内的行业合作伙伴提供Mythos Preview版本。该项目还为参与组织提供高达1亿美元的使用额度，并向开源安全组织捐赠400万美元。