一个没有公开发布的AI模型，却在全球网络攻防领域掀起轩然大波。

近期，美国大模型公司Anthropic研发的“Mythos”，被曝出在无需人类干预的情况下，自主发现了OpenBSD中潜伏27年的漏洞、FreeBSD中存在17年的远程代码执行漏洞，以及躲过了超500万次模糊测试的FFmpeg漏洞。漏洞发现成本被拉低近百倍，效率提升两个数量级以上。

过去顶尖黑客团队以“年”为单位的工作，AI只需数分钟到数小时。

紧随其后，外媒曝出Anthropic联合AWS、苹果、谷歌、微软、英伟达、思科等10余家科技巨头组建“玻璃翼”（Glass Wing）联盟，将Mythos封闭在一个仅供盟友使用的安全防御圈内。

这意味着，非联盟国家或许会面临一个危险的局面：美国可以批量发现他们的漏洞，而他们却无法对等发现美国的漏洞，网络空间重新形成了“单向透明”的战略失衡。

“如果攻击方有Mythos能力，对被攻击方常见的代码库进行扫描，就能获得比原来可能多数百倍的漏洞，也就是说我们的关键基础信息设施，很多企业和政府的系统被攻击的概率可能提升了数百倍，攻击的难度也降低了数百倍，这是游戏规则的改变。”360集团创始人周鸿祎对观察者网称。

在他看来，Mythos把过去“人和人”的对抗，变成了算法、算力、机器和人力的对抗，“对没有这种能力的国家来说，Mythos肯定是一个灾难。”这意味着传统安全体系正全面失效，安全行业将迎来一次范式迁移，智能体将成为新的基础能力形态。

美国“神秘模型”改变游戏规则

漏洞是网络攻防最核心的战略资产。

一个能控制Windows系统的“零日漏洞”，在黑市上可以卖到上百万美元；沙特阿拉伯曾斥资6000万美元购买一个针对iPhone的漏洞。昂贵背后是极度的稀缺，发现一个有价值的漏洞，周期通常以年为单位，需要顶尖黑客团队反复尝试，且结果极不确定。

“漏洞不是一眼就能看出来的，一眼看出来的错误叫bug。人类发现漏洞的能力很弱，需要一批特殊才能的专业黑客，通过很长时间对代码的分析研判，还有各种测试。”周鸿祎把这种模式比作“中彩票”：这个月中500万，不一定下个月还能中，所以漏洞极其稀缺。

正因漏洞难以批量发现，全球网络攻防长期维持着一种脆弱的平衡，攻击方手里可用的漏洞寥寥无几，防守方也无需面对“千疮百孔”的威胁。

Mythos的出现打破了这一平衡。

资料图

它不是专门的安全模型，而是大模型逻辑推理与智能体自主决策能力进化后的“副产品”。但它展现出的漏洞挖掘能力，让所有安全专家倒吸一口冷气，72.4%的漏洞利用开发测试成功率，数分钟到数小时内完成过去一个团队数年才能完成的工作。这意味着，原本极其稀缺的漏洞，现在可以被AI批量“开采”。

周鸿祎判断，如果攻击方掌握了类似Mythos的能力，对被攻击方常见的代码库进行扫描，就能获得比原来多数百倍的漏洞。这就意味着在攻击方眼中，被攻击方犹如一个筛子似的，到处是可以进攻的点，这就形成了一个“单向透明”的禁地。

这是质变。过去防守方可以依靠“漏洞不会太多”来构建层层防御体系，投入大量防火墙、入侵检测设备。但当漏洞变得像海滩上的沙子一样随处可见时，原有的防御逻辑就失效了。

更令人不安的是，漏洞的“供给侧”还在扩大。随着AI编程工具的普及，AI生成代码的占比越来越高。而AI代码同样会引入漏洞，Anthropic做Mythos的初衷，恰恰是为了解决自家AI编程产品留下的隐患。

周鸿祎指出，“每1000行代码里都会留下两到三个漏洞。AI写代码的产能是人类的几十倍，如果不用AI来自动发现漏洞，那对行业就是灾难。”

联盟背后的地缘政治底色

Glass Wing联盟的成立，暴露了这场范式革命的政治底色。

Anthropic声称，Mythos具有不可思议的能力，可以发现并利用全球银行、电网和政府机构运行软件中的隐藏漏洞。这意味着，该模型可能成为一个地缘政治筹码，而且掌握在一家美国公司手中。加拿大财长将其威胁比作霍尔木兹海峡的关闭。

12家美国科技巨头把Mythos锁在联盟内部，不对外公开，不授权第三方。表面上是为了“防止漏洞被恶意利用”，实际上构建了一个高度排他的安全防御网络，联盟成员之间互相扫描漏洞、共享情报、提前修补，形成“双向透明”的防御闭环。而闭环之外的国家和企业，面对的是单向透明的攻击劣势。

周鸿祎对此毫不意外。“他们也很担心技术扩散后，像微软、谷歌、苹果等公司大量的漏洞，如果被世界其他地方的黑客组织大量挖出，那他们马上就面临一个千疮百孔的基础设施体系，面临这种高强度的攻击，他们非常担心。所以无论从进攻和防守的角度来说，他们都要拉帮结派的，那我们国家肯定是被排在外面的，这是毫无疑问。”