Anthropic 的 Claude Mythos Preview,以及防护更重的 Fable 5,让安全圈紧张了一轮。
英国 AI Security Institute 的评估里,Mythos 首次完成部分“专家级任务”,还在名为 The Last One 的 cyber range 中跑通了从侦察到接管网络的完整攻击链。随后,相关访问在受控开放后被收紧,美国政府限制也让 Anthropic 暂停或缩小了可用范围。
这件事的反常点在这里:模型能力看起来很吓人,但入口又被关得很紧。它说明 AI 攻防能力在加速,不等于企业网络明天就会被自动打穿。
我更在意的变化是:高资源团队发现漏洞、验证漏洞、串起攻击步骤的效率被抬高了。对企业安全负责人、漏洞管理团队和 SOC 来说,真正该问的不是“神话模型会不会制造零日”,而是自家旧洞、暴露面和告警链条能不能扛住更快的攻击节奏。
Mythos 强在哪里:不是会写报告,而是能推进攻击链
Mythos 被认为强于旧模型的地方,不是写几段安全建议。关键在于,它能把可疑漏洞推进到可用 exploit,并在多步骤攻防任务里保持规划能力。
原文线索里提到,Mozilla 曾披露 Mythos 帮其发现 271 个漏洞,误报率据称很低。Cloudflare 也给出过“优于人工测试者”的评价。早期 AI 漏洞挖掘常见的问题是:线索很多,证明很少。Mythos 至少把“证明”这一步往前推了。
但成本也要一起看。
Anthropic 红队披露的 OpenBSD 漏洞案例,经过约 1000 次 scaffold 运行,成本约 2 万美元。这个数字很重要。它说明能力存在,也说明这不是普通攻击者随便点几下就能复现的东西。
“27 年前的 OpenBSD 漏洞”“16 年前的 FFmpeg 漏洞”听上去有冲击力。但漏洞年代久,不必然代表发现难度更高。更稳妥的说法是:这些代码路径长期没有被同样方式审过,而模型加速了重复试探和验证。
| 对比项 | 公开说法或线索 | 更现实的判断 |
|---|---|---|
| Mythos/Fable 5 | 完成部分专家级任务,跑通完整攻击链测试 | 能力跃升成立,但靶场结果不能直接等同企业入侵成功率 |
| OpenBSD 案例 | 多年老漏洞被发现 | 成本约 2 万美元,依赖大量重复运行,不是低门槛攻击样板 |
| 旧模型对比 | 在专家级任务、exploit 生成上明显落后 | 差距在拉开,更像渐进式加速,不是安全规则一夜改写 |
| OpenAI 路线 | GPT-5.5-Cyber、Codex Security、Daybreak 等追赶 | 叙事偏防御,也采取受控发布,商业可得性仍有限 |
这里的主线很清楚:Mythos 可怕的不是“人人都能用”,而是它把原本昂贵、重复、吃经验的攻防流程自动化了一部分。
为什么企业不该把靶场分数当现实风险
AISI 的评估也有明显限制。测试环境缺少真实企业常见的 EDR、WAF、身份风控、SOC 干预和告警惩罚。
模型在靶场里横向移动,不必为“扫描太吵”“访问异常”“凭证使用触发工单”付出代价。现实网络不是干净靶场。攻击链越长,留下的痕迹越多。
还有一个限制更直接:Mythos 当前并没有面向公众无限开放。Fable/Mythos 的访问受到政府和机构准入限制。能先吃到这波能力红利的,更可能是大型安全公司、国家级团队和预算充足的红队。
普通攻击者会逐步拿到更强工具,这个方向不用怀疑。但眼下仍有几道门槛:访问资格、算力成本、实验设计、漏洞验证经验,以及绕过企业防御的实战能力。
这对两类人影响最大。
| 角色 | 不该做什么 | 现在该做什么 |
|---|---|---|
| 企业安全负责人 / CISO | 不要因为模型新闻临时采购一堆“AI 安全神器” | 先把预算压到资产暴露、补丁优先级、身份边界和检测响应上 |
| 漏洞管理与 SOC 团队 | 不要只盯“会不会生成零日” | 用 AI 做漏洞分诊、上下文优先级判断和告警归并,减少人力浪费 |
安全负责人要警惕一种采购冲动:看到模型能打靶场,就立刻买新的平台。更现实的做法是延后非必要采购,把钱先用在可验证的缺口上,比如外网暴露资产、关键系统补丁窗口、身份权限收敛和告警闭环。
漏洞管理团队则应该调整工具用法。AI 不只该被问“能不能写 exploit”。更有价值的问题是:这个 CVE 是否在外网可达资产上?是否关联核心业务?是否已有补偿控制?是否能等到下个维护窗口?
这才是企业能马上吃到的增益。
接下来要做什么:少盯神话,多验家底
对多数企业来说,最紧的口子不是 Mythos 生成一个未知零日,而是已知 CVE 修不完、资产清单不准、业务重要性和漏洞评分脱节。
AI 应该先放进漏洞管理流程,而不是只放进恐慌叙事里。让模型读取资产、补丁、业务系统、网络可达性和补偿控制,帮助安全团队判断修复顺序。这比盯着某个模型分数更有用。
三个动作更值得排上日程。
- 收缩攻击面.停掉不必要服务,减少外网暴露,优先处理可达、可利用、靠近核心业务的漏洞。
- 缩小运行环境.能用更小基础镜像和更少组件,就别把整套系统依赖塞进生产环境。distroless 容器、Docker Hardened Images、Talos Linux、Windows Server Core 这类路线,核心价值是减少可被打的面。
- 加强纵深防御.推进 ZTNA、强身份验证、上下文访问控制,同时部署 honeypot、canary token 等诱捕手段,让早期侦察更容易触发告警。
接下来最该看两个变量。
一个是访问边界。美国政府和相关机构会把这类模型的准入管到什么程度,决定了能力扩散速度。另一个是企业工具链。模型如果不能以可审计、可定价、可追责的方式进入普通企业,客户买到的可能只是又一层昂贵中间商。
所以,Mythos 的信号不是“自动攻陷时代来了”。更准确的判断是:攻防速度被推快了,低质量防线的容错率变低了。
靶场里的神话,最终会折回到企业的老问题上:资产清不清、洞补不补、权限收不收、告警有没有人接。