Anthropic发布Claude Mythos预览版引全球网络安全界震动

Anthropic公司于本周宣布推出其新一代AI模型Claude Mythos预览版，称该模型具备自主发现并开发针对操作系统、浏览器等软件漏洞的攻击链能力，标志着网络安全领域进入新纪元。该模型目前仅向微软、苹果、谷歌、Linux基金会等少数机构开放，作为“Project Glasswing”项目的一部分。

根据Anthropic的说法，Mythos预览版已跨越关键能力门槛，可发现几乎所有软件产品的漏洞，并自主生成可执行的攻击代码。目前该模型仅向数十家组织分发，旨在为防御方提供先发优势，以应对未来攻击者可能广泛获取此类技术的风险。

业内专家对这一技术突破反应不一。云安全公司Edera首席技术官Alex Zenla表示，尽管通常对这类声明持怀疑态度，但Mythos在构建“漏洞利用链”方面的能力确实构成现实威胁。所谓“漏洞利用链”，即多个漏洞按特定顺序组合以实现深层系统渗透，常见于零点击攻击等高级威胁。

长期安全研究员Niels Provos指出，尽管企业仍普遍面临软件漏洞和补丁滞后问题，但Mythos显着降低了发现和利用多阶段漏洞的技术门槛。Cisco总裁Jeetu Patel称，该模型“非常重要”，防御系统必须向“机器级”升级以应对机器规模的攻击。

美国财政部和美联储主席Jerome Powell于本周二在华盛顿召集金融行业领袖，讨论Mythos等模型对网络安全的潜在影响。前美国网络安全与基础设施安全局（CISA）局长Jen Easterly认为，Project Glasswing可能推动行业从“被动防御”转向“安全设计优先”的范式转变。

尽管部分安全专家如Davi Ottenheimer认为当前反应属于AI炒作循环的一部分，但多数人承认，该事件可作为推动行业意识升级的契机，类似于Aurora攻击或Solarwinds事件引发的“零信任”或“安全设计”理念普及。

Edera的Zenla强调，Mythos并非颠覆性闪电，而是加速漏洞利用链发现过程的工具。她比喻称，若有一百万漏洞研究员，他们能发现大量缺陷，但人类难以长期保持复杂上下文信息，而AI可高效组合漏洞形成攻击链，从而改变攻防动态。

Additional reporting by Maxwell Zeff.