Anthropic的Claude Mythos已经自主发现了主流操作系统和浏览器中的数千个zero-day漏洞,在无人类指导下实现了72.4%的漏洞利用开发成功率。该模型可以获取CVE标识符和git提交hash,然后在数小时内生成可工作的漏洞利用。这加入了越来越多的AI驱动漏洞研究:Google的Big Sleep在开源项目中发现了20个zero-day,而Sophos的OpenClaw在内部测试中将Active Directory侦察从三天压缩到三小时。
数字说明了真实情况。利用时间从2024年的61天降至2025年的28.5天,从披露到CISA已知被利用漏洞列表的中位时间从8.5天缩短到5天。高严重性漏洞的确认利用在2025年翻倍至146起案例。这不仅仅是更快的研究——这是漏洞发现经济学的根本性转变,而防御者还没有跟上。
安全行业响应中缺失的是对能力差距的诚实承认。当Rapid7和CSA专注于更快打补丁时,Sophos实际上在内部运行这些工具并亲身体验影响。他们的OpenClaw演练产生了23个可操作发现,包括从单个无特权账户的Domain Admin提权路径。这不是理论——这是生产就绪的攻击。
对于构建AI系统的开发者来说,这意味着安全不能再是事后考虑。你们现在就需要在CI/CD pipeline中进行AI驱动的安全审查,而不是等到下次安全审计时。认为有几周时间来响应漏洞的旧假设已经死了。