Anthropic Mythos：AI正在消灭网络安全的"时间缓冲"

日期：2026/04/16

核心判断

AI将漏洞从公开到武器化的窗口期从771天压缩至不足4小时，沿用数十年的"负责任披露"机制名存实亡——这不是未来风险，而是已经发生的结构性变化。

发生了什么

Anthropic上周发布Claude Mythos预览版，因网络安全攻防能力过强而拒绝公开发布，仅限合作方访问。该模型是首个完成多步骤渗透挑战的AI系统，能将多个漏洞"链式"串联组成复合攻击——此前仅顶尖人类黑客具备此能力。

事件迅速引发连锁反应：

• 美国财政部长Scott Bessent召集华尔街高管评估系统防御准备，财政部正寻求直接获取Mythos访问权限
• 至少两个联邦机构和三个国会委员会绕过特朗普禁令，悄悄联系Anthropic测试Mythos
• 英国AI安全研究院评估确认：Mythos在发动复杂网络攻击方面超越ChatGPT和Gemini，但对"防御薄弱"系统威胁最大
• OpenAI同日宣布GPT-5.4-Cyber网络安全专用模型，试图以"可控部署"路线与Anthropic的"危险到无法发布"路线形成差异化

为什么值得关注

1. 时间缓冲消失：据zerodayclock.com数据，漏洞从公开披露到可用攻击工具构建完成的时间，已从2018年的771天骤降至不足4小时。代理AI（agentic AI）使攻击走向全自动化——不再需要人类黑客逐条研究，AI自主尝试不同突破路径直到成功。

2. 最脆弱的不是大银行：英国AI安全研究院明确指出，Mythos对防御薄弱的系统威胁最大。大型银行拥有顶级IT安全体系，黑客历来倾向绕开；真正暴露在高风险中的是医院、小型零售商和中小企业——它们既是黑客惯常目标，也缺乏快速响应资源。

3. 监管与现实的撕裂：特朗普政府将Anthropic列为"供应链风险"并禁止合作，但联邦机构正绕过禁令主动测试；Anthropic一边起诉国防部，一边向政府通报Mythos细节。政治博弈与安全需求之间的矛盾正在加剧。

可能影响

• 负责任披露机制面临重构：当漏洞在数小时内即可被武器化，数周乃至数月的补丁部署流程是否还有意义？整个行业需要重新设计漏洞披露和修复的时间框架。
• AI安全从"模型安全"转向"生态安全"：Mythos事件表明，单个模型的能力评估已不足以衡量风险——AI对整个网络安全生态的时间结构产生了根本性改变。
• 中小企业安全鸿沟加速扩大：AI驱动的自动化攻击降低了攻击门槛，防御薄弱的机构将首当其冲，可能催生"AI安全即服务"的新市场。

参考文献

• 当漏洞修复从771天缩至不足4小时，Anthropic Mythos对所有人都敲响了警钟
• In the Wake of Anthropic's Mythos, OpenAI Has a New Cybersecurity Model—and Strategy
• Anthropic co-founder confirms the company briefed the Trump administration on Mythos

前沿科技异动雷达 2026/04/16

• 【算力基建】AI数据中心初创Fluidstack正以180亿美元估值融资10亿美元，Jane Street领投；4个月内估值从75亿翻倍，核心驱动力是Anthropic 500亿美元定制数据中心订单，AI专用基建正从云厂商通用方案中分化为独立赛道
• 【量子计算】英伟达推出全球首个开源量子AI模型家族NVIDIA Ising，包含350亿参数校准模型和两种量子纠错解码模型，解码速度比开源标准pyMatching快2.5倍、准确度高3倍，黄仁勋称"AI将成为量子机器的操作系统"
• 【具身智能】Google DeepMind发布Gemini Robotics-ER 1.6，空间推理和物理推理能力显著提升，新增仪表盘读取能力（与Boston Dynamics合作发现），开发者可通过Gemini API和AI Studio直接调用