Anthropic的Claude Mythos Preview能够自主发现零日漏洞并在主流操作系统和浏览器上构建可用的攻击利用,标志着相比之前AI模型的能力飞跃。在针对Firefox 147个JavaScript引擎漏洞的内部测试中,Mythos Preview成功181次,而其前代产品Opus 4.6仅成功构建了2个可用攻击利用。该模型在OSS-Fuzz语料库的10个独立目标上实现了完整的控制流劫持,相比之下Opus 4.6在7000个入口点中只成功了1次。
这不是渐进式进步——这是一个相变,崩塌了漏洞发现和利用之间的传统差距。我之前写过Anthropic的智能体工作,这证实了他们正在构建以我们从未见过的水平自主运行的系统。研究人员并没有明确训练这些能力;它们从推理和代码理解的整体改进中涌现出来。这既令人瞩目又令人担忧——我们没有设计的能力正在作为让模型更智能的副作用出现。
安全影响是直接且严重的。当专业安全承包商审查该模型的198项发现时,他们89%的时间都同意严重性评估。该模型在OpenBSD的TCP SACK实现中发现了一个27年的拒绝服务漏洞,证明它能够发现人类审计员几十年来都错过的漏洞。Anthropic正在限制对"关键行业合作伙伴和开源开发者"的访问,但这种能力不可避免地会传播到其他模型。
对于任何使用AI构建的人:这永久性地改变了安全格局。让这些模型更好地帮助你编写代码的同样推理改进,也让它们在破坏代码方面变得指数级更好。我们正在进入一个自动化攻击利用生成以机器速度和规模运行的时代。