Mythos首月战绩：挖出1万个洞，人类防线全面崩溃

太疯狂了！

就在昨晚，Anthropic公布了Project Glasswing的首月战报。

仅仅一个月，1万个以上高危/严重的漏洞！

软件安全的瓶颈，第一次从"发现漏洞"变成了"修漏洞"！

50家巨头全线沦陷

Cloudflare用它扫描了核心系统，发现了2000个漏洞，其中400个是高危或严重级别。

误报率甚至比人类测试人员还要低！

Mozilla在Firefox 150中找到了271个漏洞。

这是他们用Claude Opus 4.6在Firefox 148中发现数量的10倍以上！

各大厂商的补丁量直接爆炸。

Palo Alto Networks本月发布了26个CVE，涵盖75个问题，是平时的5倍！

微软警告说，未来的补丁量会"持续保持在高位"。

Oracle直接把季度补丁基础上增加了月度严重漏洞补丁！

而这还只是冰山一角。

开源世界的定时炸弹

Anthropic自己用Claude Mythos扫描了1千个开源项目。

这些项目支撑着整个互联网的运行，也包括Anthropic自己的基础设施。

结果，Claude Mythos一口气找出了23019个漏洞！

其中6202个评估为高或严重级别。

这是什么概念？

截止目前，CVE今年也只有26914个！

Mythos在一周期内的输出就轻松超过甚至远超全球CVE月均总量。

这些漏洞，经过6家独立安全研究机构的验证。

90.6%的漏洞都是真实存在的！

62.4%确实是高或严重级别！

按照这个准确率，它已经发现了近3900个高危或严重漏洞。

而这仅仅是开始，仅仅是1千个开源项目！

开源软件漏洞案例

Mythos的一个开源软件漏洞案例是wolfSSL

wolfSSL是全球最受信任的加密库之一，被超过几十亿台设备使用。

Claude Mythos不仅发现了一个严重漏洞，还直接写出了完整的利用代码。

这个漏洞能让攻击者伪造任何银行或邮箱的SSL证书。

尽管网站实际由攻击者控制，但终端用户看来却完全合法。

这个漏洞已经被分配为CVE-2026-5194。

屠榜漏洞利用

可怕的是，Claude Mythos不只是会找漏洞。

它还会把漏洞变成真正的攻击！

Claude Mythos近期在基准测试中的成绩。

结果更是震惊了整个安全界。

在ExploitBench的V8引擎漏洞测试中。

Claude Mythos是唯一一个能够可靠突破V8沙箱的模型。

在41个CVE中，它实现了21个任意代码执行！

在ExploitGym的898个真实世界漏洞测试中。

两小时的窗口期内，Mythos成功利用了157个漏洞。

包括107个用户空间漏洞，38个V8浏览器漏洞，以及12个Linux内核漏洞！

更离谱的是，AI经常"不按套路出牌"。

在ExploitGym中，要是计入非预期解，Claude Mythos总共捕获了226个flag。

其中69个，是通过利用目标漏洞之外的其他漏洞实现的！

也就是说，你让它去挖A漏洞，它顺便把B、C、D漏洞都挖出来并利用了！

在智能合约领域，Mythos 更是杀疯了。

在SCONE-bench测试中。

它成功利用了所有 12 个在它知识截止日期之后发现的智能合约漏洞。

总共盗取了价值3000 万美元的虚拟货币！

150万美元诈骗被拦截

还有一个细节。

Mythos不仅仅是挖洞强，其他安全领域也很强！

在Glasswing的某家合作银行，Mythos帮助检测并阻止了一笔150万美元的诈骗。

攻击者入侵了客户邮箱，伪造了电话确认。

Mythos Preview 成功检测并阻止。

人类修不过来了

现在，人类面临着一个前所未有的困境。

漏洞发现的速度，已经远远超过了漏洞修复的速度。

Anthropic的协调漏洞披露仪表盘清晰地展示了这个瓶颈。

从发现漏洞，到人工验证，到报告给维护者，到最终发布补丁。

每一步都有巨大的人力缺口。

很多开源项目的维护者已经不堪重负。

甚至有人要求Anthropic放慢披露速度，因为他们根本来不及修复！

这是一场人类永远赢不了的赛跑。

面对这场危机，Anthropic推出了Claude Security工具，帮助企业自动扫描代码并生成补丁。参见：安全行业噩梦！血洗安全行业的Claude Security长啥样？

上线三周，已经帮助修复了2100多个漏洞。

他们启动了网络验证计划，为安全研究人员开放模型权限。

他们还和Linux基金会合作，投入1250万美元，支持开源维护者处理AI生成的漏洞报告。

但这些都只是权宜之计。

攻防博弈彻底失衡

过去60年的网络安全逻辑是：

攻防同步演进。

找漏洞难，修漏洞也难，双方维持动态平衡。

现在呢？发现漏洞难度大幅度降低。

这就是为什么Claude Mythos至今没有公开发布。

但他们也承认，像Mythos这样的模型，其他公司很快就会开发出来。

AI不会因为你「修不过来」就停下脚步。

参考资料：https://red.anthropic.com/2026/exploit-evals/ https://www.anthropic.com/research/glasswing-initial-update

声明：本文来自玄月调查小组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。