Long-form

Anthropic Mythos 向公众开放：当 AI 找漏洞比人类更快更准

11 min read · May 29, 2026

💡 一句话总结：Anthropic 把一个能发现 27 年老漏洞、在完全修补目标上实现控制流劫持、漏洞发现真阳性率超 90% 的 AI 模型，向所有人公开了。这不是产品发布——这是网络安全攻防范式的分水岭。

事件时间线

时间	事件
2026 年 4 月 7 日	Anthropic 首次公开 Mythos 前沿模型，披露其网络安全能力
2026 年 4 月中旬	Project Glasswing 启动，12 家初始合作伙伴开始受限访问
2026 年 4-5 月	Glasswing 扩展至约 50 个组织，累计发现 10,000+ 高危漏洞
2026 年 5 月 28 日	Anthropic 宣布将 Mythos 级别能力向公众开放，同步发布 Opus 4.8
2026 年 5 月 29 日	claude-mythos-1-preview 模型标识出现在 Claude Code 和 Claude Security 中

今天我们聊的不是一个新模型的发布。我们聊的是一个根本性问题：当 AI 发现漏洞的速度和准确率全面超越人类安全专家，整个攻防生态的博弈结构会发生什么变化？

Mythos 是什么：不只是更强的 Claude

从数字看能力跃升

2026 年 4 月 7 日，Anthropic 首次公开了 Mythos——一个不追求通用对话能力，而是专注于网络安全攻防的前沿研究模型。

先看硬指标。USAMO 2026（美国数学奥林匹克）上，Mythos 得分 97.6%，而 Opus 4.6 仅为 42.3%，差距达 55.3 个百分点。这个数字本身不直接关联安全能力，但它揭示了一个关键信号：Mythos 在复杂推理和多步骤问题解决上的能力，远非当前主力模型可比。

而在安全领域的实战表现，更加惊人。

Firefox 漏洞利用：量级碾压

Anthropic 用 Firefox 漏洞利用任务做了直接对比测试。Opus 4.6 在数百次尝试中只成功了 2 次——概率低到几乎可以视为随机噪声。Mythos？181 次成功。

这不是 2 倍、5 倍的提升。这是从”基本不能做”到”稳定可复现”的质变。

OSS-Fuzz 语料库：在修补过的目标上破防

更令安全社区震动的是 OSS-Fuzz 实验。Anthropic 选取了 10 个经过完全修补的开源目标——这些项目已经接受了多年的模糊测试，理论上”已知漏洞已清零”。

Mythos 在所有 10 个目标上实现了完整控制流劫持（full control-flow hijacking）。

这意味着什么？这些不是简单的崩溃或异常退出。控制流劫持意味着攻击者可以让程序执行任意代码，是最高危的漏洞类型。而 Mythos 在人类安全研究员反复审计过的代码中，仍然找到了这类漏洞。

时间深度：27 年和 16 年

Mythos 发现了 OpenBSD 中一个存在了 27 年的漏洞，以及 FFmpeg 中一个 16 年的漏洞。

这两个数字的含义需要展开。OpenBSD 是以安全著称的操作系统，其代码经过了全世界最严格的人工审计。FFmpeg 是最广泛使用的多媒体处理库之一，被无数安全研究员审视过。这些漏洞不是藏在冷门代码路径里——它们经受住了数十年的人类审查，直到 Mythos 出现。

UK AISI 独立评估

英国 AI 安全研究所（UK AISI）对 Mythos 进行了独立评估，使用的是专家级黑客任务——这些任务此前没有任何 AI 系统能够完成。

Mythos 的成功率：73%。

“此前没有 AI 能完成”到”73% 成功率”，这个跨越在 AI 能力评估史上几乎没有先例。通常新模型在困难基准上的提升是渐进式的——从 5% 到 12%，从 12% 到 25%。直接从 0 跳到 73%，说明 Mythos 在安全攻防上的能力不是量变，而是质变。

Project Glasswing：从实验室到真实世界

12 家巨头的联合试验

Anthropic 没有直接将 Mythos 扔进市场。2026 年 4 月中旬，他们启动了 Project Glasswing——一个受限访问计划，邀请了 12 家初始合作伙伴：

Amazon、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks，以及 Anthropic 自身。

这份名单本身就是一个信号。它覆盖了云计算（Amazon、Google、Microsoft）、芯片（NVIDIA、Broadcom）、网络安全（CrowdStrike、Palo Alto Networks）、金融（JPMorgan Chase）和开源生态（Linux Foundation）。这不是一个技术验证项目，而是一个跨行业的安全基础设施压力测试。

随后，Glasswing 扩展到约 50 个组织。Anthropic 为此投入了 1 亿美元的模型使用额度，外加 400 万美元的开源安全捐赠。

一个月的数字

Glasswing 运行约一个月后，产出了一组令人不安的数字：

指标	数值
识别的高危/严重漏洞	10,000+
涉及开源项目	6,202
真阳性率	90.6%（1,587/1,752 确认有效）
已披露给维护者的高危 bug	530
已修补	75
公开安全公告	65

重点看真阳性率。传统自动化扫描工具（SAST/DAST）的误报率通常在 30%-70% 之间，安全工程师的大量时间花在筛选误报上。Mythos 的 90.6% 真阳性率意味着每 10 个报告中有 9 个是真实漏洞，这直接改变了安全团队的工作模式——从”大海捞针”变成”逐个确认修复”。

但另一组数字也暴露了问题：530 个高危 bug 已披露，但只有 75 个被修补。修复率不到 15%。发现速度远超修复速度，这是 Mythos 时代的第一个结构性矛盾。

5 月 28 日：向公众开放的决策逻辑

Anthropic 的官方表态

2026 年 5 月 28 日，Anthropic 正式宣布将在未来几周内向所有客户发布 Mythos 级别的网络安全能力。同时发布的还有 Opus 4.8——一个编码能力更强的通用模型。

Anthropic 的核心论点是：安全防护方面已经取得了”快速进展”，公开发布的收益大于风险。

具体来说，他们的逻辑链是：

Glasswing 证明了 Mythos 在防御端的巨大价值（10,000+ 漏洞被发现）
受限访问无法覆盖长尾——那些没有安全预算的小型开源项目和初创公司，恰恰是最脆弱的
攻击者最终会发展出类似能力，防御方必须先获得这些工具
模型内置了安全限制，不会直接输出完整的漏洞利用代码

claude-mythos-1-preview 已上线

在技术层面，claude-mythos-1-preview 模型标识已经出现在 Claude Code 和 Claude Security 的模型选择列表中。这意味着开发者可以在自己的 CI/CD 流水线中集成 Mythos 级别的安全扫描，而不再需要通过 Glasswing 的审批流程。

Opus 4.8 则作为编码模型同步发布，与 Mythos 形成互补：Opus 4.8 负责代码生成和理解，Mythos 负责安全审计和漏洞发现。

全球连锁反应

政府层面的紧急响应

Mythos 的公开发布在全球引发了连锁反应。日本政府在消息公布当天就下令对关键基础设施进行安全审查，评估哪些系统可能暴露在 Mythos 级别的扫描能力下。印度金融监管机构要求各银行和金融科技公司在 48 小时内完成紧急修补计划。

这些反应的潜台词是：各国政府意识到，一个公开可用的 AI 安全工具，同时也是一个公开可用的 AI 攻击工具。 防御者能用它扫描自己的系统，攻击者同样能用它寻找目标。

开源社区的压力

最直接的压力落在了开源维护者身上。Glasswing 一个月内在 6,202 个开源项目中发现了漏洞，而这些项目的维护者大多是志愿者或小团队。他们收到了前所未有的漏洞报告量，但没有对应的资源来处理。

部分维护者公开要求 Anthropic 放慢漏洞披露的节奏。他们的诉求很具体：

协调披露窗口：从标准的 90 天延长到 120 天或更长
提供修复建议：不只是报告漏洞，还要附带修复方案和补丁草稿
资金支持：400 万美元的捐赠分散到 6,000+ 项目，每个项目平均不到 700 美元

⚠️ 核心矛盾：AI 发现漏洞的速度是指数级增长的，但开源项目的修复能力是线性的。Anthropic 的 1 亿美元使用额度能驱动 Mythos 持续扫描，但 400 万美元修复预算在一个月内就已经捉襟见肘。

攻防平衡的深层讨论

Mythos 的公开发布把一个理论问题变成了现实问题：AI 驱动的漏洞发现，是否必然有利于防御方？

乐观派的论点：

防御方只需要修复一次，攻击方需要对每个目标分别利用
大规模自动化扫描天然有利于防御（覆盖面更广）
合法安全团队的资源和协调能力远超个体攻击者

悲观派的论点：

攻击方只需要一个漏洞，防御方需要修复所有漏洞
Mythos 能发现的漏洞，攻击者也能在修复前利用
修复速度的瓶颈在人力，而攻击速度的瓶颈在算力——后者的扩展性远胜前者

更广泛的行业背景：2026 年的网络安全态势

Mythos 的公开发布不是孤立事件。它发生在一个网络安全威胁急剧升级的大背景下。

CVE 利用窗口持续收窄

Mandiant 发布的 M-Trends 2026 报告显示，28.3% 的 CVE 在公开后 24 小时内就被在野利用。这个数字比 2025 年又有显著上升。攻击者对公开漏洞的反应速度已经以小时计算，留给防御方的窗口越来越窄。

在这个背景下，Mythos 的价值逻辑变得清晰：如果你不用 AI 在漏洞公开前就找到并修复它，你就只有不到 24 小时的反应时间。

BadHost 事件的警示

就在 Mythos 公开发布前几天，CVE-2026-48710（BadHost）刚刚爆发——一个 Starlette 框架的 Host header 注入漏洞，影响了包括 FastAPI、vLLM、LiteLLM、MCP Server 在内的整条 AI Agent 基础设施链。这个漏洞的补丁到公开披露只有 1 天的缓冲期，大量 AI Agent 服务在暴露状态下运行了数天。

BadHost 恰好说明了 Mythos 的必要性：如果这个漏洞是被 Mythos 发现的，修复可以在公开披露前完成，而不是在攻击者和防御者的赛跑中祈祷自己跑得更快。

CrowdStrike 与 Glassworm 僵尸网络

作为 Glasswing 的初始合作伙伴之一，CrowdStrike 利用 Mythos 的能力主导了对 Glassworm 僵尸网络的打击。Glassworm 是 2026 年最活跃的 AI 辅助僵尸网络之一，利用被入侵的服务器进行大规模凭证窃取和供应链攻击。

CrowdStrike 的报告显示，Mythos 在分析 Glassworm 的 C2 基础设施时，在 4 小时内识别出了人类分析师花了 3 周才确认的攻击模式。这不是替代人类——是将时间压缩了 100 倍以上。

技术架构猜想：Mythos 为什么这么强

Anthropic 没有公开 Mythos 的完整技术细节，但从公开信息和能力表现可以合理推断其架构特点。

推理深度的本质差异

USAMO 97.6% 的得分暗示 Mythos 在长链推理上有根本性突破。漏洞发现本质上是一个多步推理问题：理解代码语义 → 识别隐含假设 → 构造违反假设的输入 → 验证是否触发异常行为。普通模型在第二步就开始丢失上下文，Mythos 能稳定推理到第四步。

代码理解的语义深度

Firefox 实验中 181 次成功利用说明 Mythos 不是在做模式匹配（“看到 strcpy 就报 buffer overflow”），而是在理解代码的语义逻辑。浏览器漏洞利用需要理解 JavaScript 引擎的 JIT 编译、GC 行为、对象布局等极其复杂的交互，这要求模型对代码有深层理解而非表面匹配。

自动化利用链的构建能力

控制流劫持不是发现一个 crash 那么简单。从崩溃到控制流劫持，需要：

找到内存损坏的触发条件
确定被覆盖的是哪个指针/返回地址
构造合适的 payload 布局
绕过 ASLR、DEP 等现代防护措施

Mythos 能在 10 个完全修补的目标上全部完成这个链条，说明它具备了端到端的漏洞利用能力——从发现到 PoC 构建的完整自动化。

未来展望：三个关键问题

问题一：修复生态能否跟上

Mythos 暴露了安全行业的一个结构性瓶颈：发现能力可以用 AI 扩展，但修复能力仍然高度依赖人力。 Glasswing 的 530 个已披露 bug 中只有 75 个被修补，这个 14% 的修复率在 Mythos 公开后只会更低，因为发现的漏洞数量将呈数量级增长。

解决路径可能有两条：

AI 辅助修复：让 Mythos 不只报告漏洞，还生成修复补丁并验证其正确性
优先级智能排序：根据漏洞的可利用性、影响范围、上下游依赖关系自动排序修复优先级

问题二：监管框架如何适配

日本和印度的紧急响应说明各国政府还没有准备好应对 Mythos 级别的 AI 安全工具。现有的漏洞披露框架（如 CVD、Bug Bounty）是为人类速度设计的——90 天协调披露窗口的前提是漏洞发现速度有限。当 AI 可以在一个月内发现 10,000+ 漏洞时，整个框架都需要重新设计。

需要回答的问题包括：

AI 发现的漏洞是否适用相同的披露时间线？
是否需要专门的 AI 安全工具出口管制？
政府关键基础设施是否应强制使用 AI 安全扫描？

问题三：攻防均衡的新稳态

长期来看，Mythos 的公开发布可能推动网络安全行业走向一个新的均衡态。在这个均衡态中：

防御方标配 AI 扫描，持续发现和修复漏洞
攻击方也使用 AI 寻找未修补窗口期的漏洞
胜负手变成修复速度和攻击利用之间的时间赛跑

这个均衡态的关键特征是：安全不再是静态的”修复所有已知漏洞”，而是动态的”比攻击者更快修复”。 这对安全团队的组织架构、工具链、响应流程都会产生根本性影响。

结语

Anthropic 把 Mythos 向公众开放，是 2026 年网络安全领域最重要的事件之一。它不是一个产品发布——它是一个信号，标志着 AI 在网络安全攻防中从辅助工具变成了主导力量。

从 OpenBSD 27 年老漏洞到 Firefox 181 次成功利用，从 10,000+ 高危漏洞到 90.6% 真阳性率，Mythos 用数据证明了一件事：在漏洞发现这个维度上，AI 已经全面超越大多数人类安全专家。

但超越不等于取代。开源维护者的修复压力、监管框架的适配困境、攻防均衡的重新定义——这些问题不是 Mythos 的能力能回答的。它们需要整个行业的集体响应。

Mythos 打开了潘多拉的盒子。好消息是，盒子里既有攻击力，也有防御力。坏消息是，谁先用、用得多快，将决定未来几年网络安全的走向。

这场赛跑已经开始了。

Frequently asked questions

Mythos 和普通的 Claude 模型有什么本质区别？: Mythos 是 Anthropic 的前沿研究模型，专注于网络安全攻防能力。它在 USAMO 2026 上得分 97.6%，比 Opus 4.6 的 42.3% 高出 55.3 个百分点。核心差异在于 Mythos 能自动发现和利用软件漏洞，包括在完全修补的目标上实现控制流劫持，这是普通模型无法做到的。它不是通用助手的升级，而是一个专项能力的量级跃升。
Project Glasswing 取得了哪些具体成果？: Project Glasswing 在约一个月的受限运行中，识别出超过 10,000 个高危或严重漏洞，覆盖 6,202 个开源项目。经人工验证，1,587 个漏洞中有 1,752 个确认有效，真阳性率达 90.6%。已有 530 个高危 bug 披露给维护者，75 个被修补，65 个发布了公开安全公告。这些数字远超任何人类安全团队在相同时间内的产出。
Mythos 向公众开放会不会被攻击者滥用？: 这是最核心的争议。Anthropic 的立场是防御方获得这些能力的速度必须快于攻击方，只有广泛部署才能形成生态级防护。但批评者指出，公开发布意味着攻击者也能使用同等能力寻找漏洞。Anthropic 表示已在安全防护方面取得快速进展，模型内置了使用限制，但攻防不对称性是否真的有利于防御方，目前没有定论。
开源维护者如何应对 Mythos 带来的漏洞洪水？: 这是一个现实问题。Glasswing 已经让部分开源维护者不堪重负，他们要求 Anthropic 放慢漏洞披露节奏。Anthropic 的 400 万美元开源安全捐赠也远不够覆盖修复成本。长期来看，需要建立 AI 辅助修复的配套工具链——不只是用 AI 找漏洞，还要用 AI 帮助生成补丁、验证修复、自动化回归测试，否则发现速度和修复速度的剪刀差只会持续扩大。
Opus 4.8 和 Mythos 的关系是什么？普通开发者能用到哪些能力？: Opus 4.8 是与 Mythos 公开发布同步推出的编码模型，定位更偏通用编码增强而非专项安全攻防。普通开发者可以通过 Claude Code 和 Claude Security 使用 claude-mythos-1-preview 模型标识来调用 Mythos 级别的安全扫描能力，而 Opus 4.8 则提供更强的代码生成和理解能力。两者互补：Opus 4.8 写代码，Mythos 审代码。

// next.txt ›

One signal per week. No AI filler.

🛠️ Work With Me

AI engineering, hands-on

Architecture review, RAG audit, build sprints.

Reach senior AI engineers

Newsletter slots, sponsored deep-dives.

Some outbound links in this post are affiliate links — see disclosure.