Anthropic 已将 Claude Mythos Preview 进入有限的测试阶段:在该模型于多种操作系统、网页浏览器及其他软件中暴露出数千个关键漏洞之后,公司已在一小部分企业合作伙伴中开展测试。此次披露既凸显了由 AI 驱动的安全工具所蕴含的巨大潜力,也揭示了随着能力在野外不断扩散而随之出现的新增风险。
该公司在介绍 Mythos Preview 时称其为通用型模型,在内部评估期间,该模型在主要平台上识别出高严重度的薄弱环节。Anthropic 警告称,如果不以负责任的方式进行管理,这类能力可能会迅速传播,并指出对手可能会在防护措施尚未就位之前就部署这些工具。
“鉴于 AI 进展的速度,此类能力不会太久就会扩散,甚至可能扩散到那些并不致力于以安全方式部署它们的行为者之外。”
安全研究人员早就警告,AI 能通过自动化发现与利用来加速网络攻击。在一个由 AI 驱动的威胁日益常见的更广阔环境中,Anthropic 指出了令人担忧的趋势。AllAboutAI 报告称,AI 赋能的网络攻击同比增长 72%,且 2025 年全球 87% 的组织都遭遇了由 AI 促成的攻击。基于这一背景,Anthropic 强调需要防御性 AI 工具来抢先于“坏人”。
为巩固防御,Anthropic 同一天宣布 Project Glasswing。该倡议汇聚了 40 多家公司,包括 Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 和 Nvidia,目标是运用 Claude Mythos Preview 的能力来发现漏洞,与合作伙伴共享数据,并在罪犯尚未利用这些漏洞之前修补关键漏洞。
要点
Claude Mythos Preview 已在操作系统、浏览器和加密库中识别出数千个关键漏洞,凸显出潜在可被利用的广泛攻击面。
这些缺陷中的大多数仍未修补。Anthropic 指出:其发现的约 99% 的漏洞目前尚未得到修复。
Project Glasswing 促成跨行业联盟,以将由 AI 驱动的防御落到实处,旨在加速整个软件栈中的漏洞发现、披露与整改。
这些漏洞跨越数十年,暗示被广泛使用的软件长期存在脆弱性,同时也表明对关键基础设施以及加密生态系统的持续风险。
由 AI 驱动的漏洞发现与数十年前的弱点
Anthropic 的早期发现揭示了一个令人不安的现实:那些已经存在多年甚至数十年的缺陷,今天依然可能构成重大威胁。其援引的案例包括:一些现已修补但在历史上具有重要意义的 OpenBSD 漏洞——这是一处已有 27 年的漏洞,曾在测试中重新浮现——以及 FFmpeg 库中一项已有 16 年历史的缺陷,还有 FreeBSD 操作系统中一项已有 17 年历史的远程代码执行漏洞。相关披露还扩展到 Linux 内核中的多个漏洞,表明即便是维护得当的开源项目,也并非免于潜在风险。
除操作系统之外,Mythos Preview 还标记了加密领域的弱点——这些领域是保障安全通信与交易的基础。据报道,模型在广泛使用的库与协议中识别出了缺陷,包括 TLS、AES-GCM 和 SSH。Web 应用成为漏洞发现的特别肥沃土壤,问题类型从跨站脚本到 SQL 注入,以及跨站请求伪造不等;而后者往往被用于钓鱼式的活动。
Anthropic 强调,这些问题中的许多都很微妙、依赖具体上下文,或深嵌在复杂的代码路径中,因此仅靠传统审计并不能单独将其发现出来。对开发者与运营方而言,这一点非常明确:即便是成熟的软件栈也可能隐藏关键缺陷,而 AI 可能会比传统方法更快地帮助将其挖掘出来。
该公司还指出了与这些发现一同出现的一项严峻数据:这些漏洞中的大多数尚未修补,从而形成了暴露窗口;如果不及时处理,这个窗口可能会被机会主义攻击者加以利用。
Glasswing:面向主动防御的联盟
Project Glasswing 被定位为一项主动防御项目,而非回顾式分析计划。通过汇集来自云服务提供商、硬件开发者、金融机构以及开源生态系统的参与方资源与专业能力,Glasswing 试图将由 AI 驱动的漏洞发现转化为一个学习闭环,从而加速补丁的创建与部署。该协作旨在分享有关新兴威胁的洞见,与厂商和供应商协调披露,并在利用变得普遍之前推动快速整改。
关键参与方覆盖行业巨头与关键安全生态:Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 和 Nvidia 等。该倡议反映出一种不断增长的趋势:由大型技术公司组成的联盟会协调加固软件供应链,并缩短从漏洞发现到修补之间的时间窗口——这一目标尤其与区块链和加密基础设施相关,因为安全事件可能在网络与生态系统之间引发连锁故障。
这次转变对加密与网络安全生态意味着什么
对于加密领域的投资者与建设者而言,Mythos Preview 的发现以及 Glasswing 的协作模式,提供了对风险与韧性的更为细致的视角。一方面,AI 辅助的漏洞发现可能显著改善加密平台、钱包、节点软件以及智能合约生态系统的安全态势:通过更快地挖掘那些本来需要人类更久才能检测到的弱点。另一方面,提前获得这类强大工具也带来治理与安全方面的问题:谁来控制对发现结果的披露?补丁的发布有多快?在实时市场中,用户所面临的风险如何被定价?
从市场角度看,围绕由 AI 赋能的安全工具的活动可能会影响对安全基础组件、审计套件以及加密基础设施中形式化验证服务的需求。它也进一步强调了供应链安全的重要性:因为在广泛使用的库或操作系统中出现的单个零日漏洞,可能会在去中心化网络、交易所与托管服务中产生连锁效应。
分析师指出,防御驱动型 AI 的过渡期很可能并不轻松。长期来看,倡导者预计防御能力将占据主导地位,从而形成更安全的软件生态,但在中间阶段,将会出现广泛的错误配置、补丁延迟以及不断演变的威胁策略,因为攻击者会适应新的防御技术。Anthropic 的表述表明,向由 AI 辅助防御的转变并不会立即发生;这需要持续协作、标准化披露以及快速的补丁周期,以减少被利用的时间窗口。
除了直接的技术影响,行业观察者也在关注政策与治理框架如何适应这些能力。分享威胁情报与保护敏感漏洞数据之间的平衡,将决定组织能多快从由 AI 驱动的防御中获益——包括在聚焦加密的环境中,因为责任、透明度与用户信任至关重要。
正如安全领域媒体所提到的那样,围绕由 AI 赋能的代码安全以及更广泛的讨论(如何监管并安全部署 AI)已经出现了类似的叙事。媒体与市场对这些讨论的反应还包括网络安全股票的波动,这也表明投资者正在权衡:由 AI 驱动的防御是否可靠,与“使更具能力的攻击者获得赋能”的风险之间孰轻孰重。
在短期内,读者应关注 Glasswing 如何将模型的发现转化为可落地的补丁,以及参与的公司能多快将共享情报投入运营。结果很可能会影响安全预算、开发者工作流程以及覆盖传统科技与加密原生生态系统的事件响应准备程度。
仍有不确定之处:行业能否在足够快的时间内弥合针对海量已发现漏洞的补丁差距,以及由 AI 辅助的防御能否持续领先于日益复杂的利用手法。接下来的几个月,将让开发者、运营方与政策制定者看清:大规模、由 AI 赋能的防御项目在降低系统性风险方面,其可行性与有效性究竟如何。
就目前而言,Anthropic 的披露强化了一个关键要点:随着 AI 能力增长,必须将强大的发现工具与严谨、有纪律的协作型防御配对起来——尤其是在安全与信任、以及连续性密不可分的领域。
本文最初发布在 Crypto Breaking News,标题为:Anthropic 收紧 AI 访问——随着加密面临的网络攻击风险临近。Crypto Breaking News 是你可信赖的加密新闻、Bitcoin 新闻以及区块链更新来源。
