Anthropic"超危险"漏洞猎手模型Mythos实为虚张声势

Anthropic的Mythos模型据称在挖掘安全漏洞方面能力超强，以至于Claude的开发商担心将其公开后会被不法分子利用，因此迟迟不敢向公众开放。然而，早期分析表明，Mythos或许并没有外界渲染的那般危险。

Anthropic以"玻璃翼计划"（Project Glasswing）为名，向一批数量逐步扩大的精选机构提供Mythos的预览访问权限，目的是让这些机构能够在该模型被不法分子获取、引发混乱之前，提前发现并修复自身环境中的安全漏洞。

然而，事情并未按计划推进。本周三，Anthropic一位发言人向媒体证实，部分非玻璃翼计划合作伙伴可能已通过非官方途径访问了该模型——但并非通过Anthropic的生产API。

"我们正在调查一份报告，该报告声称有人通过我们某家第三方供应商的环境，未经授权访问了Claude Mythos预览版，"该发言人表示。

入侵警报

Anthropic拒绝透露涉事第三方供应商的名称，但表示该公司是Anthropic在模型研发方面的合作伙伴。据悉，目前没有证据显示未经授权的访问行为已蔓延至该第三方供应商的环境之外，Anthropic自身系统也未受影响。

据最早报道此次未授权访问事件的彭博社称，有少数人通过对照Anthropic此前模型的命名规律，"有根据地猜测"出了该模型的在线地址，从而获得了访问权限，而相关细节是在近期Mercor数据泄露事件中曝光的。

Mercor是一家AI人才中介初创公司，专门向包括Anthropic在内的多家主要AI实验室提供专业外包人员。本月早些时候，Mercor表示自己是受LiteLLM供应链攻击波及的"数千家公司之一"。

据报道，这批未经授权的用户隶属于一个私密Discord频道，并在Anthropic宣布玻璃翼计划的同一天就获得了Mythos的访问权限。彭博社称，此后他们一直在"把玩"这台漏洞猎手，并无将其用于恶意目的的打算。

不管这批用户如何使用Mythos，他们的访问行为本身已揭示了几个关键问题。

其一：要让代码真正保密极为困难（此前Anthropic发生的Claude Code源码泄露事件也印证了这一点），尤其是当急于试用新模型的人正是网络安全和工程领域的专业人士时——他们甚至不需要入侵任何网络或数据库。内部威胁和供应链风险是实实在在的隐患。

欺骗技术公司Acalvio的首席执行官Ram Varadarajan表示："Mythos泄露事件并不需要什么高超的攻击手段，只需要一名外包人员、一个URL规律和一次上线首日的猜测。这说明'受控发布'模式在最薄弱的环节就已失守，甚至还没轮到模型能力本身成为问题。"

此外，考虑到Anthropic为新模型造势所投入的大量宣传，这只精灵从瓶中跑出来，也就不足为奇了。

供应链安全公司Black Duck的风险战略主管Tim Mackey指出："Anthropic对Mythos的营销信息实际上是一种挑战——与夺旗（CTF）比赛并无二致，而成功就意味着声称未经授权访问了Mythos。"

戳穿炒作泡沫

现实情况或许远不及宣传所言。来自AWS和Mozilla等Mythos预览用户的早期报告显示，该模型在发现漏洞方面速度快、效果好，所需的安全工程师人工指导也更少，因此对人工团队而言是一个值得欢迎的效率工具——但它尚未超越人类安全研究员的水平。

Mozilla首席技术官Bobby Holley在披露Mythos在Firefox 150中发现了271个漏洞后表示："到目前为止，我们没有发现任何类别或复杂程度的漏洞是人类能找到而该模型找不到的。"随即他又补充道："我们也没有看到任何漏洞是顶尖人类研究员发现不了的。"换句话说，它更像是为团队新增了一名自动化安全研究员，而非一台危险到不宜公开的零日漏洞挖掘机器。

Anthropic在发布新模型时声称，Mythos识别出了"数千个高危及严重级别的额外漏洞"。然而，VulnCheck研究员Patrick Garrity指出，截至上周，实际数量可能只有约40个，甚至可能一个都没有。

另一位工程师Devansh则全面梳理了与Mythos相关的CVE公告、Anthropic的漏洞利用代码、44条提示的完整对话记录、244页的系统说明书，以及玻璃翼计划的合作协议和红队测试报告。他还参考了Aisle的复现研究——该研究使用小型、低成本的开放权重模型对Mythos展示的漏洞进行了测试，结果发现这些模型产生了大量相似的分析结论。

Devansh最终得出结论：尽管Mythos发现的漏洞是真实存在的，但围绕它的真实故事是"一场误导与炒作"。

例如，Anthropic声称的181个Firefox漏洞是在关闭浏览器沙盒的情况下运行发现的，而FreeBSD漏洞利用的完整对话记录也"显示出大量人工指导，而非自主完成"。

Devansh还指出："所谓'数千个严重漏洞'是基于198份人工审核报告外推得出的。Linux内核漏洞是由公开版模型Opus 4.6发现的，而非Mythos。"

另一位研究员Davi Ottenheimer则指出，Anthropic那份244页文档的安全部分（第3节，第47至53页）"完全没有给出零日漏洞的具体数量，没有CVE列表，没有CVSS分布，没有严重性分类，没有披露时间线，没有供应商确认的新漏洞列表，也没有误报率。"

Ottenheimer将其比作"《绿野仙踪》的结局——一场令人失望的把戏：一个模型拿着另一个模型发现的两个漏洞充门面，而相关软件供应商早已完成修复，测试环境也被剥离了浏览器沙盒和纵深防御缓解措施"。

攻击性AI黑客公司Horizon3.ai的联合创始人兼首席执行官Snehal Antani表示："攻击者根本不需要Mythos来加速漏洞研究，4.6版本和开源模型早已在加速这一过程。"

当被问及安全社区是否应该对Mythos遭未授权访问感到担忧时，Antani的回答是否定的。"在我看来，这根本就是小题大做，"他说，"攻击者不需要Mythos就能入侵你的系统。"

Q&A

Q1：Anthropic的Mythos模型是什么？它的主要功能是什么？

A：Mythos是Anthropic开发的一款专注于安全漏洞挖掘的AI模型，定位为自动化安全研究工具。它能快速发现软件中的安全漏洞，且所需的人工指导较少。Anthropic起初声称其能力极为强大，甚至担心公开后会被不法分子滥用，因此仅通过"玻璃翼计划"向少数机构开放预览权限。

Q2：Mythos未授权访问事件是怎么发生的？

A：部分非玻璃翼计划合作伙伴通过参照Anthropic此前模型的URL命名规律，猜测出了Mythos的在线地址，从而在未经授权的情况下访问了该模型。相关细节在Mercor数据泄露事件中被曝光。Anthropic确认，这一访问发生在第三方供应商的环境中，并非通过其官方生产API，目前没有证据表明Anthropic自身系统受到影响。

Q3：Mythos的实际漏洞挖掘能力是否像宣传的那样强大？

A：根据早期评估，Mythos的能力被明显夸大。Mozilla的测试表明，Mythos虽能快速发现漏洞，但尚未超越顶尖人类安全研究员的水平。研究人员还指出，Anthropic声称的"数千个严重漏洞"实为基于少量样本的外推，部分漏洞是在关闭沙盒保护的测试环境下发现的，且有漏洞实际上由公开版模型Opus 4.6发现，而非Mythos本身。