当 AI 开始主动寻找系统漏洞,未来的网络安全格局正在被重新书写。
一个代号的泄露,揭开神秘面纱
上个月,Fortune 杂志爆出一则猛料:Anthropic 一份内部备忘录意外泄露,其中提到一个代号为 "Capybara" 的新模型。这份文件毫不掩饰其野心——它被描述为 Anthropic 迄今为止 "最强大的 AI 模型",甚至比当时最顶尖的 Opus 系列还要高出一个层级。
这个所谓的 "人为失误",让安全研究员们抢先瞥见了 Anthropic 的王牌。
如今,谜底正式揭晓。Capybara 的真名是 Mythos——一个希腊神话中意为 "传说" 的名字。而它的使命,远比单纯的性能突破更加宏大。
Project Glasswing:12 家科技巨头的秘密联盟
本周二,Anthropic 正式推出 Project Glasswing(玻璃翼计划),这是一个围绕 Mythos 打造的网络安全专项计划。名字取自动物界最精致的翅膀——玻璃翼蝴蝶,寓意 透明、脆弱中的力量。
参与这个计划的阵容堪称豪华:
| 合作伙伴 | 领域 |
|---|---|
| Amazon | 云计算 |
| Apple | 消费电子 |
| Microsoft | 软件与云 |
| Cisco | 网络设备 |
| Palo Alto Networks | 网络安全 |
| CrowdStrike | 终端安全 |
| Broadcom | 半导体/软件 |
| Linux Foundation | 开源生态 |
整整 12 家组织 将率先部署 Mythos,用于 "防御性安全工作"。虽然这个模型并非专门为网络安全训练,但它展现出的能力让 Anthropic 决定将其投入实战。
数千个零日漏洞,就这样被挖了出来
Anthropic 透露,在过去几周的秘密测试中,Mythos 已经识别出 数千个零日漏洞,其中不少属于 严重级别。
更惊人的是,这些漏洞的年龄:
-
许多漏洞潜藏了 一到二十年 -
它们遍布第一方软件和开源系统 -
有些可能就藏在每天都在使用的代码库里
这意味着什么?我们可能每天都在使用带有严重安全隐患的软件,却浑然不觉。
Mythos 的核心能力在于 agentic coding(代理式编程) 和 深度推理。它不只是静态地扫描代码,而是能像人类安全研究员一样,理解代码逻辑、追踪数据流、识别异常模式。这种能力让它能够从海量代码中揪出那些隐藏极深的漏洞。
矛与盾:强大的力量需要审慎的制衡
然而,力量的双刃剑属性也引发了担忧。
在泄露的备忘录中,Anthropic 坦承:如果 Mythos 落入恶意行为者手中,它完全可能被 武器化——不是用来修复漏洞,而是用来发现和利用漏洞进行攻击。
这种担忧并非空穴来风。模型的能力边界已经触及了安全的灰色地带:
防御方视角:
-
主动扫描漏洞,防患于未然 -
保护关键基础设施和开源软件 -
加速安全补丁的开发和部署
潜在风险:
-
被用于自动化漏洞挖掘和攻击 -
降低网络攻击的技术门槛 -
加速攻防双方的军备竞赛
这正是 Anthropic 采取严格受控发布策略的原因——preview 版本不会向公众开放,只有经过筛选的 40 家组织能够接触。
华盛顿的博弈:技术创新与政策监管的角力
有趣的是,Anthropic 表示已经与 联邦官员 就 Mythos 的使用进行了 "持续讨论"。
但背景却颇为微妙。目前,Anthropic 正与特朗普政府陷入一场法律纠纷——起因是五角大楼将这家 AI 实验室标记为 "供应链风险",理由正是 Anthropic 拒绝允许对其模型进行自主目标锁定或对美国公民进行监控。
这场角力折射出 AI 发展中的深层张力:
| 维度 | 冲突点 |
|---|---|
| 安全 | 模型可用于防御,也可被武器化 |
| 隐私 | 强大的监控能力与公民权利的边界 |
| 治理 | 企业自主决策与政府监管的博弈 |
| 竞争 | 技术领先与地缘政治的交织 |
Mythos 的出现,无疑会让这场讨论变得更加复杂。
一个月内的两次 "事故":敲响的警钟
在 Mythos 的光芒之下,Anthropic 最近的安全记录却有些尴尬。
就在上个月,公司在发布 Claude Code 2.1.88 版本时 意外暴露了将近 2000 个源代码文件,总计超过 50 万行代码。更让人哭笑不得的是,Anthropic 在试图清理这个烂摊子时,又 不小心导致 GitHub 上数千个代码仓库被误删。
这些事件像是一记警钟:
即便是最顶尖的 AI 公司,也可能犯下最基础的安全错误。
这也从另一个角度印证了 Mythos 这类工具的价值——人总是会犯错的,而 AI 可以成为那道额外的防线。
不止于代码:Mythos 的通用能力版图
虽然 Project Glasswing 将 Mythos 定位为网络安全工具,但 Anthropic 强调它的本质是 通用型模型。
泄露文件中的描述令人印象深刻:
-
软件编程:超越现有公开模型的编码能力 -
学术推理:在复杂知识领域展现深度理解 -
网络安全:主动识别和修复系统漏洞
这种多面手特性意味着,Mythos 的潜在应用场景远不止安全扫描。从自动化编程助手到科研加速器,从教育辅助到创意工具——它的边界可能只受限于人类的想象力。
当然,在正式面向公众发布之前,Anthropic 需要通过 Project Glasswing 这样的受控实验,深入理解模型的行为模式、能力边界和潜在风险。
开源生态的守护者?
Project Glasswing 的一个关键承诺值得关注:参与组织最终将分享他们从使用 Mythos 中获得的经验和洞察,让整个科技行业都能从中受益。
这对于 开源软件生态 尤为重要。Linux Foundation 作为合作伙伴的加入,释放了明确的信号——Mythos 的能力将被用于加固开源世界的安全防线。
考虑到现代数字基础设施对开源软件的深度依赖,这可能会产生深远的连锁效应:
-
更多开源项目能获得企业级的安全审计 -
长期被忽视的 "遗产代码" 有机会重获关注 -
安全研究社区的整体能力提升
AI 安全的新范式
Mythos 的发布,标志着 AI 安全进入了一个新阶段。
过去,我们讨论 AI 安全,更多关注的是 模型本身的安全性——防止幻觉、避免有害输出、保护训练数据。而 Mythos 指向的是 AI 作为安全工具 的可能性:让更智能的系统来保护复杂的数字世界。
这是一个充满希望的愿景,也是一个需要极度谨慎的领域。
当 AI 开始主动寻找漏洞,它可能找到我们遗漏的宝藏,也可能挖掘出我们不愿面对的 Pandora 盒子。在 Mythos 正式走入公众视野之前,Project Glasswing 的实验结果将告诉我们:这条路,究竟通向更安全的未来,还是更深的迷雾。
而我们所有人,都是这场实验的见证者。