4 月 7 日,Anthropic 预告了 Claude Mythos,并在 red.anthropic.com 发布了带具体数字的红队报告。两周后,随着影响逐步显现,媒体的报道力度在加重。Mythos 不会通用发布,它进入一组受限的 Project Glasswing 合作伙伴——Amazon、Apple、Broadcom、Cisco、CrowdStrike、Linux 基金会、Microsoft 和 Palo Alto Networks 在内,总计 40 个组织——再加上精选的开源安全团体,包括 OpenSSF、Alpha-Omega、Apache 软件基金会。Anthropic 承诺向工业合作伙伴投放 1 亿美元的使用额度,向开源团体投放 400 万美元。
基准测试是改变对话的那部分。在 Firefox JavaScript 漏洞开发上,Opus 4.6 在数百次尝试中做出 2 个可用 exploit,成功率接近零。Mythos 做出 181 个可用 exploit,另有 29 次实现寄存器控制。在 OSS-Fuzz 语料库(1000 个仓库,约 7000 个 fuzz 入口点)上,Opus 4.6 和 Sonnet 4.6 各自落地 150 到 175 个一级崩溃,约 100 个二级,一个三级。Mythos 落地 595 个一级至二级崩溃,少量三四级,以及 10 个代表完整控制流劫持的五级发现。Anthropic 的漏洞清单包括 OpenBSD 中 27 年的 SACK TCP 漏洞,可远程 DoS;FFmpeg 中 16 年的 H.264 编解码漏洞(代码库超过 20 年);FreeBSD NFS 中 17 年的未认证 RCE(CVE-2026-4747);Linux 内核组合 2 到 4 个漏洞的提权链;所有主流浏览器中带 sandbox 逃逸的 JIT heap-spray 利用;以及 TLS、AES-GCM、SSH 实现的弱点。Anthropic 说 99% 以上的发现尚未修复;可公开讨论的不到 1%。
经济账是值得坐下来消化的部分。找到那个具体的 27 年 OpenBSD 漏洞花了不到 50 美元的算力。对 OpenBSD 跑一千次探索活动总共花了不到 2 万美元。FFmpeg 的发现加起来约 1 万美元。N-day 漏洞开发每个可用 exploit 约 1000 至 2000 美元。有史以来第一次,在基础软件中找到关键漏洞的成本曲线落到补丁与部署修复的成本曲线之下。验证数据支持这一点:198 份人工复核的 Mythos 报告中,89% 与 Claude 自身的严重性评估完全一致,98% 在一个严重性级别之内。这不是幻觉性漏洞剧场。Anthropic 的回应是不通用发布:Mythos Preview 留在 Project Glasswing 之内,通用可用性被明确排除。
如果你发布或依赖具有真实攻击面的软件,有三件事可做。一,99% 未修复这个数字是一种含蓄承认:现有协调披露的吞吐无法吸收这种能力所发现的——如果你维护有 CVE 历史的包,请在等同能力出现在 preview 访问之外之前把响应流水线整理好。二,Mythos 在旧代码(27、17、16 年)上的成功表明 AI 辅助审计的真正用武之地不在于时髦的新协议,而在于那些无聊、成熟、十年无人审视的老家伙。三,「不发布即安全」是先例,不是解决方案。Anthropic 选择不通用发布这个模型,但能力曲线就是能力曲线。从现在到等同模型商品化可得之间的差距,是宽限期,不是保证。