【安全资讯】Anthropic发布Mythos模型，AI可自主发现并利用零日漏洞

概要：

在网络安全领域，零日漏洞的发现与利用一直是攻防双方争夺的焦点。近日，人工智能公司Anthropic公布了一款名为Mythos的AI模型，其能力引发了安全界的广泛关注与担忧。该模型被证实能够自主识别并编写针对主流操作系统和浏览器的零日漏洞利用代码，标志着AI在自动化网络攻击能力上取得了突破性进展。

主要内容：

Anthropic公司开发的Mythos模型在漏洞利用开发测试中取得了惊人的成功率，达到72.4%，远超其前代模型Claude Opus 4.6近乎为零的表现。该模型的核心能力在于，即使是没有正式安全培训的工程师，也能通过指令让其在一夜之间生成完整的、可工作的远程代码执行漏洞利用程序。

从技术细节看，Mythos的能力并非仅限于常见的栈溢出攻击。在测试案例中，它曾编写了一个浏览器漏洞利用链，串联了四个漏洞，并构建了复杂的JIT堆喷射代码，成功逃逸了渲染器和操作系统的沙箱保护。它还能通过利用细微的竞争条件和绕过KASLR（内核地址空间布局随机化），在Linux等系统上自主实现本地权限提升。

面对如此强大的能力，Anthropic并未公开发布Mythos，而是启动了名为“Project Glasswing”的有限发布计划。该计划向包括亚马逊、苹果、谷歌、微软、摩根大通等在内的行业合作伙伴提供预览版本，旨在帮助它们抢先于攻击者发现自身系统的缺陷。同时，公司还向约40家其他组织提供了使用额度，并向开源安全组织进行了捐赠。

这一进展为防御方提供了强大的自动化审计工具，但同时也预示着未来由AI驱动的自动化、规模化网络攻击门槛可能大幅降低。Anthropic表示已发现“数千个额外的高危和严重漏洞”，并正在负责任地进行披露。安全社区需重新评估AI技术在攻防两端带来的范式转变。