Anthropic的Claude Mythos已經自主發現了主流作業系統和瀏覽器中的數千個zero-day漏洞,在無人類指導下實現了72.4%的漏洞利用開發成功率。該模型可以獲取CVE識別碼和git提交hash,然後在數小時內產生可工作的漏洞利用。這加入了越來越多的AI驅動漏洞研究:Google的Big Sleep在開源專案中發現了20個zero-day,而Sophos的OpenClaw在內部測試中將Active Directory偵察從三天壓縮到三小時。
數字說明了真實情況。利用時間從2024年的61天降至2025年的28.5天,從披露到CISA已知被利用漏洞清單的中位時間從8.5天縮短到5天。高嚴重性漏洞的確認利用在2025年翻倍至146起案例。這不僅僅是更快的研究——這是漏洞發現經濟學的根本性轉變,而防禦者還沒有跟上。
資安產業回應中缺失的是對能力差距的誠實承認。當Rapid7和CSA專注於更快打修補程式時,Sophos實際上在內部運行這些工具並親身體驗影響。他們的OpenClaw演練產生了23個可操作發現,包括從單個無特權帳戶的Domain Admin提權路徑。這不是理論——這是生產就緒的攻擊。
對於構建AI系統的開發者來說,這意味著資安不能再是事後考量。你們現在就需要在CI/CD pipeline中進行AI驅動的資安審查,而不是等到下次資安稽核時。認為有幾週時間來回應漏洞的舊假設已經死了。