Anthropic新模型颠覆网络安全：美英德政府加急评估影响，传统漏洞或不复存在

前情回顾·AI网络攻击能力动态

• Anthropic新模型让传统网络防御失效，AI主导网络安全的时代正在降临！

• 奇点降临？OpenAI宣布新模型将达到高阶黑客水平

• AI一周开发出高级恶意软件，网络犯罪一人产业链开始出现？

• 爆料！美军想用AI自动化攻击我国关基设施，电网是重点目标

安全内参4月13日消息，Anthropic公司在上周发布最新的大模型Claude Mythos预览版，并宣称它标志着网络安全演进中的一个关键节点，将对现有软件防御策略构成前所未有的生存性威胁。本文将深入探讨这究竟只是又一轮AI炒作，还是一个真正的转折点？

根据Anthropic的说法，Mythos已经跨越关键能力门槛，能够在几乎所有操作系统、浏览器及各种软件产品中发现漏洞，并可自主生成并运行的攻击利用代码。鉴于这一能力，该公司目前仅将该模型，提供给数十家加入旗下Glasswing网络安全计划的机构，包括微软、苹果、谷歌、思科及Linux基金会。

在围绕生成式AI如何影响网络安全的多年讨论之后，近一周的消息引发了广泛争议：所谓的大考是否真的到来，以及它在现实中将以何种形式呈现。

网络安全专家意见不一，

但均认同AI已具备漏洞挖掘利用能力

部分人士对Anthropic的说法持高度怀疑态度。他们认为，现有AI智能体已经能够帮助用户以更低成本、更高效率发现并利用漏洞，这一趋势确实推动企业改进漏洞发现与修补流程，但并未从根本上改变安全范式。

有人认为这种狂热被夸大了，它只是整个AI炒作周期的一个片段。“这就像经典的意大利西部片情节，传教士们宣称末日即将来临，然后卷起大家的钱逃之夭夭，”资深安全与合规顾问达维·奥滕海默说。“这确实是一种转变，就像当别人还在用手动步枪时，你却学会了用机关枪作战，但这并不神秘和魔幻。”

此外，也存在一种令人不安的现实，即Anthropic很可能通过将其最新模型塑造成神秘、强大且具有稀缺性的产品而获得商业收益。

不过，另一些研究人员和从业者则认同Anthropic的评估，并指出公司已明确表示Mythos只是首个具备此类能力的模型，这些能力最终将扩散至更多系统中。

云安全公司Edera的首席技术官Alex Zenla表示：“我通常对此类说法持怀疑态度，开源社区也是如此。但从根本上讲，我确实认为这是一种真实存在的威胁。”

Zenla及其他专家特别强调，Mythos预览版在“漏洞利用链”方面的能力是一个关键转折点。所谓漏洞利用链，是指一组可以按顺序被利用、从而逐步深入攻陷目标系统的漏洞组合，其复杂程度类似鲁布·戈德堡机械式的超复杂连锁装置。许多高级攻击技术都依赖此类利用链，包括零点击攻击，这类攻击无需用户任何操作即可入侵系统。

长期从事安全工程与研究的Niels Provos表示：“我们早已生活在一个充满漏洞的软件与硬件环境中，而修补这些漏洞本身就极具挑战。许多企业缺乏保护其基础设施的能力，这一点并没有发生本质变化。但据我了解，Mythos在构建多阶段漏洞方面表现出色，并能够提供可验证的利用证明。这不会改变问题的本质，但会显著降低发现和利用漏洞所需的技术门槛。”

网络攻防能力太强，

目前仅对美西方核心企业开放

目前，Mythos预览版仅在Glasswing项目参与者中有限开放，这为防御方提供了一个短暂的窗口期，使其能够利用该模型识别自身系统中的弱点，并提前调整软件开发流程、更新周期以及补丁部署策略，以应对未来攻击者获得类似能力的局面。

行业领袖似乎已开始重视这一警示。上周二，Anthropic的前沿红队负责人Logan Graham在接受外媒WIRED采访时表示，在公司正式发布公告之前，与各组织就Glasswing项目沟通的过程中，电话交流逐渐变得简短，因为潜在威胁已愈发明显。

Graham表示：“这不仅是某一家公司的问题，而是所有模型开发者都必须面对的挑战。我们的目标是推动整个过程尽早启动。让Mythos尽快进入防御者手中，以争取先发优势至关重要。”

思科公司总裁兼首席产品官杰图·帕特尔在旧金山举办的HumanX AI会议上表示，Mythos“是一个非常非常重要的事情”。

“从长远来看，你必须确保防御能力达到机器速度，因为攻击已经是机器速度了，”帕特尔说。“如果我有数十亿个代理人要攻击我的基础设施，我需要确保能够有效防御它。Anthropic的做法非常棒，因为它有效地增强了抵御恶意攻击者的能力。”

美英德加等国政府紧急评估影响，

中长期传统漏洞或不复存在

关注Mythos模型影响的人群远不止科技公司。据彭博社报道，美国财政部长斯科特·贝森特和美联储主席杰罗姆·鲍威尔上周二在华盛顿特区财政部总部，召开了一场金融行业领袖会议，讨论像 Mythos这样的模型对网络安全的潜在影响。

所有被召集参会的银行均被认定为“系统重要性金融机构”，其稳定性对全球金融体系至关重要。知情人士指出，美国政府官员并未提及任何针对金融机构的具体威胁，而是鼓励银行们将该模型应用于自身系统，以提升防御能力。

英国《金融时报》报道称，英国金融监管机构正与政府网络安全部门及主要银行召开紧急会议，以评估Anthropic最新AI模型带来的潜在风险。

英格兰银行、金融行为监管局以及财政部官员已与国家网络安全中心展开会谈，重点审查该模型所揭示的关键IT系统潜在漏洞。预计在未来两周内，英国主要银行、保险公司及交易所的代表将参加监管机构组织的会议，听取关于Claude Mythos预览版所带来网络安全风险的专题简报。

德国网络安全机构负责人在接受外媒POLITICO采访时表示，Anthropic发布的这一强大新模型标志着“网络威胁性质的范式转变”。

德国联邦信息安全办公室负责人Claudia Plattner表示，该机构正就Mythos模型与Anthropic保持积极沟通。他认为，Anthropic Mythos模型意味着在中期内，我们可能会达到一个临界点：未知的传统软件漏洞将彻底不复存在。

加拿大财政部一位发言人表示，该部门已于上周五与加拿大央行及多家银行高管召开会议，讨论网络安全问题。发言人指出，AI以及Anthropic的新模型也是会议的重要议题之一。

Anthropic Mythos能否成为

软件开发安全变革起点？

有人认为，鉴于一种思维转变要在所有行业和组织中普及需要很长时间，抓住特定事件或技术突破作为提高意识的契机是有价值的。

此前几次网络安全领域的重大觉醒都源于灾难性漏洞事件，比如针对谷歌的极光攻击凸显了"零信任"架构的重要性，Solarwinds和Log4shell黑客攻击潮则推动了"安全设计"理念的软件开发方式。

Anthropic认为，Mythos预览版的发布可以作为一个更为审慎的转折点，因为它只是对未来可能性的预警，而非最坏情况的真实演示。

安全专家们还表示，这一时刻也是解决当前软件开发中固有缺陷的契机。

"几十年来，我们建立了一个庞大的全球产业，用于防御、检测和响应那些本不该存在的"漏洞"——软件中的缺陷和问题，"资深网络安全从业者、前美国网络安全与基础设施安全局局长珍·伊斯特利撰文写道。

她认为，Glasswing计划有望开启"一个AI帮助我们走出无休止打补丁的循环，转向从一开始就构建更安全的技术。这不是网络安全使命的终结，而是我们所熟知的传统网络安全的终结开端。"

Edera公司的Zenla强调，Mythos预览版并非一道能在一夜之间改变一切的闪电。相反，她说，这是通往安全领域"无限猴子定理"（无限只猴子在无限打字机上敲出莎士比亚作品）的又一步。

"如果你有一百万个漏洞研究员，他们能发现大量bug。但人类并不擅长在脑海中长时间保持大量上下文信息，因此发现能够串联利用的、很长的漏洞链一直很少见，"她说，"Mythos 和类似模型将加速攻击者将漏洞组合成可利用集合的速度。有些人会为此长期不满，但我确实认为格局已经改变了。"

参考资料：https://www.wired.com/story/anthropics-mythos-will-force-a-cybersecurity-reckoning-just-not-the-one-you-think/、https://www.reuters.com/world/uk/uk-financial-regulators-rush-assess-risks-anthropics-latest-ai-model-ft-reports-2026-04-12/、https://www.politico.eu/article/german-cyber-agency-braces-for-significant-disruption-from-anthropics-ai-hacking-tech/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。