AI 亲手打开了潘多拉魔盒：当 Claude Mythos 发现了数千个零日漏洞

2026 年 4 月 8 日，Anthropic 宣布了一件让整个网络安全行业都为之变色的事：他们最新的 AI 模型，在短短几周内自主发现了几乎所有主流操作系统和浏览器中的数千个高危零日漏洞。其中有些漏洞，已在代码里沉睡了 27 年。

---

一个被隐藏的 AI，做了一件惊天动地的事

Anthropic 的新模型叫 Claude Mythos，代号"水豚（Capybara）"，是目前已知能力最强的 AI 模型之一。但你不会在任何应用商店找到它，也不会看到它的公开发布——因为它太危险了，公司选择暂不对外开放。

Mythos 的消息，最初是以一种颇为戏剧性的方式泄露给公众的：3 月下旬，Anthropic 因一次内部失误，将包含 Mythos 相关描述的文件意外暴露在了公开可访问的服务器上。文件中写道，这个模型"在网络安全能力上远超任何其他 AI 模型"，并预示着"一波能以超过防御者速度利用漏洞的模型即将到来"。消息一出，网络安全概念股集体下跌，CrowdStrike、Palo Alto Networks、Zscaler 等公司股价单日跌幅达 5% 至 11%。

随后，4 月 8 日，Anthropic 正式宣布成立 Project Glasswing（玻璃翼计划），将 Mythos Preview 开放给 AWS、Apple、Google、Microsoft、Cisco、Nvidia 等约 50 家科技与安全企业，以及众多关键开源项目维护者，用于防御性安全研究。

---

零日漏洞是什么？为什么它让人如此恐惧

要理解这件事的重量，首先需要理解"零日漏洞"这个词。

零日漏洞（Zero-Day Vulnerability），指的是软件中已经存在、但开发商尚未知晓、因此也没有补丁的安全缺陷。"零日"的意思是：从漏洞被攻击者掌握到防御者能够响应，中间有 0 天的缓冲时间。

与之相对的还有：

• N 日漏洞（N-Day）：补丁已经发布，但大量用户还没打上，攻击者继续利用。
• 1 日漏洞（1-Day）：补丁刚发布，安全研究员通过对比补丁差异"反推"出漏洞原理，在窗口期迅速武器化。

零日漏洞之所以极度危险，在于它是**“无解的”**——当攻击者利用它时，目标系统根本没有任何防御手段，连厂商都不知道问题出在哪里。正因如此，高质量的零日漏洞是网络战的核心武器，在黑市上，一个针对 iOS 或主流浏览器的零日利用代码，价格可高达数十万乃至数百万美元，主要买家是国家级黑客组织和情报机构。

---

Mythos 做了什么，具体到让人咋舌

Anthropic 的红队研究人员在发布的技术报告中披露了若干已被修复的漏洞案例，每一个都令人印象深刻：

案例一：一个沉睡 27 年的 OpenBSD 漏洞

OpenBSD 是公认安全性最高的操作系统之一，大量防火墙和关键基础设施运行于其上。Mythos Preview 在其 TCP SACK 实现中发现了一个整数溢出漏洞——这个漏洞已存在 27 年，允许远程攻击者仅凭网络连接就让任何运行 OpenBSD 的主机崩溃。更令人叹为观止的是，完成这一发现，模型总共花费不到 2 万美元的计算成本。

案例二：FFmpeg 中的 16 年"老坑"

FFmpeg 是世界上被使用最广泛的多媒体处理库之一，几乎每台设备的视频播放都依赖它。Mythos 在其 H.264 解码器中发现了一个引入于 2003 年提交、在 2010 年一次重构中被意外暴露的漏洞。此后十几年，无数模糊测试工具和人类安全研究员审查过这段代码，却无一察觉。

案例三：FreeBSD 中的远程代码执行

Mythos 在 FreeBSD 的 NFS 服务器中完全自主地发现并利用了一个存在 17 年的远程代码执行漏洞（CVE-2026-4747）——从网络上任意位置的未授权用户出发，直接获得服务器 root 权限，全程无需任何人工干预。

案例四：串联四个漏洞的浏览器攻击链

在一个最令研究人员震惊的案例中，Mythos Preview 自行构造了一个浏览器利用程序，将四个漏洞串联在一起，通过复杂的 JIT 堆喷射技术，同时逃脱了渲染器沙箱和操作系统沙箱的双重限制。这种级别的漏洞链，迄今为止只有顶尖人类黑客才能实现。

这些还只是可以公开讨论的案例。Anthropic 坦承，99% 以上被发现的漏洞目前仍未修复，出于负责任的披露原则，无法公开细节。

---

数字说话：Mythos 到底强到什么程度

Anthropic 的测试给出了一组令人印象深刻的对比数据。

针对 Firefox 147 JavaScript 引擎的同一批漏洞测试中：

• 前一代旗舰模型 Opus 4.6 在数百次尝试中，成功写出可运行漏洞利用代码的次数：2 次
• Mythos Preview 的成功次数：181 次，另有 29 次达到寄存器控制

在针对开源代码库约 7,000 个入口点的内部基准测试中，Opus 4.6 达到"完全控制流劫持"（最高级别）的次数是 1 次；Mythos Preview 是 10 次，且目标均为已完全打补丁的软件。

更值得关注的是，Mythos 成功将已识别漏洞转化为可用利用代码的概率高达 72.4%。过去，"找到漏洞"和"把漏洞武器化"之间存在着很高的技术门槛，这一差距曾经是防御者最重要的缓冲时间。现在，这个门槛正在被迅速抹平。

---

这不是主动训练出来的，而是"顺带"出现的

Anthropic 在技术报告中特别强调了一点，颇为发人深省：

“我们并没有刻意训练 Mythos Preview 使其具备这些安全能力。它们是模型在代码理解、推理和自主性方面全面提升的一个副产品——那些让它在修复漏洞上更有效的能力，恰恰也让它在利用漏洞方面同样有效。”

这揭示了一个深刻的双刃剑困境：让 AI 真正理解代码、真正能自主解决问题，是目前所有实验室的核心追求。但这种能力一旦达到足够的深度，就无法再被"限定"在防御侧——它天然地对进攻侧同样有效。

---

Project Glasswing：一场与时间的赛跑

面对自己亲手打开的潘多拉魔盒，Anthropic 的选择是：在类似能力的模型被其他机构（尤其是那些不承诺安全部署的机构）开发出来之前，尽可能多地修复漏洞。

这正是 Project Glasswing 的核心逻辑——把 Mythos 变成防御工具，让真正的漏洞在被攻击者利用之前就被找到并修复。参与机构既包括 AWS、Apple、Google、Microsoft 这样的科技巨头，也包括 Linux 基金会等开源社区组织。

参与企业的反应也相当直白。CrowdStrike 的研究人员在声明中写道：“这不仅是发现此前隐藏漏洞的游戏规则改变者，也预示着一种危险的转变——攻击者很快就能以远超防御者的速度发现更多零日漏洞并开发利用代码。我们需要为 AI 辅助的攻击者做好准备。会有更多攻击、更快的攻击、更复杂的攻击。现在正是全面升级网络安全体系的时刻。”

---

对普通用户和企业意味着什么

Mythos 的出现，从根本上改变了几个长期成立的假设：

假设一：“老旧系统暂时没事”
27 年的 OpenBSD 漏洞被找到，意味着代码年龄不再是安全的保障。AI 可以系统性地扫描数十年积累的代码库，无需人类研究员数年如一日的耐心。

假设二：“打了补丁就安全了”
N 日漏洞的危险将急剧上升——因为 AI 能以极快的速度通过补丁差异分析反推漏洞原理，大幅压缩"补丁发布"到"攻击出现"之间的缓冲时间。

假设三：“复杂漏洞只有顶尖黑客才能利用”
四漏洞串联的浏览器攻击链，过去需要最顶尖的人类黑客。现在，这种能力正在向任何能够访问强大 AI 的人开放。

对企业而言，安全研究人员给出的建议很明确：缩短补丁周期、开启自动更新、将带有 CVE 编号的依赖更新视为紧急任务，并重新评估漏洞披露政策——因为 AI 加持的发现速度要求整个行业的响应时间同步压缩。

---

尾声：AI 与安全的新纪元

"攻守平衡"一直是网络安全行业赖以运转的基本秩序：攻击者发现漏洞，防御者修复漏洞，两者之间存在足够大的时间差让社会有序响应。

Mythos Preview 的出现，宣告这个秩序正在瓦解。AI 既是有史以来最强大的漏洞挖掘机，也可以是最高效的安全加固工具——关键在于谁先拿到它，以及他们打算用它做什么。

Anthropic 选择了一种审慎但并不逃避的方式：将危险的能力优先交给防御者，同时向世界坦承这种能力的存在和风险，而不是在商业压力下草率地公开发布。这是否足够，时间会给出答案。

但有一件事已经确定：AI 正在改写网络安全的底层逻辑，而这个过程，已经开始了。

---

本文参考资料来源：Anthropic Project Glasswing 官方公告、Anthropic Red Team 技术博客、The Hacker News、Fortune、Tom’s Hardware、Help Net Security（均发布于 2026 年 4 月 7–9 日）