Anthropic神话模型引发网络安全“恐慌”，专家称威胁早已存在

Anthropic公司推出的神话（Mythos）模型因能大规模发现软件漏洞而引发全球银行、科技企业和政府机构的警觉，但专家指出，此类能力早已通过现有AI模型实现。

该模型被限定向苹果、亚马逊、摩根大通和 Palo Alto Networks 等少数美国企业开放，以防止恶意行为者获取。尽管如此，其发布促使特朗普政府考虑加强对未来AI模型的监管。

OpenAI随后推出GPT-5.5-Cyber模型应对。该模型于周四向经过审核的网络安全团队提供有限访问权限。

神话模型的发布属于“玻璃翼计划”（Project Glasswing）的一部分，旨在为全球企业争取时间，加固网络防御以应对可能来自犯罪集团和敌对国家的攻击浪潮。

Anthropic首席执行官达里奥·阿莫迪（Dario Amodei）在本周活动中表示：“风险是真实存在的。这就是我们采取行动的原因。但它们在某种程度上也不那么令人意外……我们已经看到这样的警告有一段时间了。”

然而，网络安全专家和AI研究人员对CNBC表示，神话模型揭示的软件漏洞可通过现有模型复现，包括Anthropic和OpenAI的早期模型。

watchTowr Labs首席执行官本·哈里斯（Ben Harris）称：“现在我们看到，行业内部可以通过巧妙协调公共模型，获得与神话模型非常相似的结果。”

Vidoc公司首席执行官克劳迪娅·克洛茨（Klaudia Kloc）指出：“我们当前的模型已经足够强大，能够大规模检测零日漏洞，这已经足够令人担忧了。”她表示，此类能力已存在数月甚至一年。

研究人员通过“协调”技术测试是否能复现神话模型的漏洞发现结果，即拆分代码、协调多个工具或模型交叉验证。

Vidoc团队使用较旧的OpenAI和Anthropic模型测试同一代码库，成功发现相同漏洞。另一家网络安全公司AISLE发现，许多神话模型的成果可通过并行运行的廉价模型复现，表明规模和协调比使用最新模型更重要。

AISLE创始人斯坦尼斯拉夫·福特（Stanislav Fort）在博客中写道：“一千个普通侦探遍地搜索，会发现比一个天才侦探凭空猜测更多漏洞。”

Anthropic并未否认早期模型具备漏洞发现能力。公司发言人指出，Anthropic已警告数月，AI的网络能力正迅速发展，并援引2月博客内容：广泛可用的Claude Opus 4.6模型在开源软件中发现了500多个“高严重性”漏洞。

神话模型的不同之处在于，它能自动开发出可运行的漏洞利用程序，几乎无需人工干预。但专家指出，北韩、中国和俄罗斯的黑客早已具备此类技能。“他们知道如何做到这一点，无论有没有Anthropic，”克洛茨表示。

哈里斯称，企业与监管机构近期对话呈现“恐慌”状态。即使在生成式AI出现前，企业已面临专业黑客利用新漏洞进行攻击，而修复代码往往需数天或数周，部分系统还需离线停机，导致防御滞后。

“行业正在为当前面临的漏洞数量而恐慌，”哈里斯说，“但在神话模型广泛可用前，修复漏洞的速度已无法跟上。”

过去，全球仅有少数专家能发现和利用隐蔽漏洞。而如今，借助现成AI模型，网络攻击门槛大幅降低，银行等目标将面临更多攻击，甚至原本不被关注的软件系统也可能成为目标。

研究人员指出，尽管Anthropic、OpenAI等公司正在开发防御工具，但当前优势仍偏向攻击方。摩根大通CEO杰米·戴蒙（Jamie Dimon）此前表示，AI工具在帮助防御前，首先增加了企业的脆弱性。

律所Mayer Brown合伙人贾斯汀·赫林（Justin Herring）指出：“漏洞发现量显着增加，但尚未看到帮助修复的工具。”他称漏洞管理是网络安全的“西西弗斯任务”——永无止境。

参与神话模型首批发布的公司获得了漏洞修补的先机，但这一做法也存在弊端：AI研究人员无法独立验证Anthropic的主张，也无法开始构建防御机制。

网络安全初创公司Tenzai首席执行官帕维尔·古尔维奇（Pavel Gurvich）称，此举“制造了‘有与无’的阶层”，可能拖累网络安全创新速度。

另一家初创公司Zafran Security联合创始人本·塞里（Ben Seri）表示：“他们正试图在模型向世界开放前找到最佳修复方案。这是一种‘先有鸡还是先有蛋’的局面，不可避免会打破一些‘蛋’。”