微软携手Anthropic Mythos强化安全软件开发流程

微软计划将Anthropic的Mythos AI模型整合进其安全开发生命周期（Security Development Lifecycle），这一举措表明，先进的生成式AI正开始在主要软件供应商识别漏洞、强化代码安全方面发挥直接作用。

微软表示，将使用Mythos Preview及其他先进模型，作为推动在软件开发更早阶段加强安全编码与漏洞检测的整体战略的一部分。

此次公告发布之际，Anthropic的Mythos引发了外界对先进AI模型可能大幅压缩"发现软件漏洞"到"漏洞被利用"之间时间窗口的担忧。分析人士指出，Mythos在AI驱动的漏洞研究领域实现了显著突破，能够在主流操作系统和浏览器中发现数以千计的严重安全缺陷。

OpenAI也已入局，推出了GPT-5.4-Cyber——其旗舰模型专为防御性网络安全工作定制的版本。Confidis创始人兼首席执行官Keith Prabhu表示，OpenAI未来一款被他称为"Spud"的模型，有望成为更强劲的竞争者。

这一举动的意义已超越微软自身的工程体系。对企业安全负责人而言，这清晰地表明前沿AI模型正从实验性应用走向网络安全核心工作流程。

这可能改变软件供应商构建产品的方式，也将影响防守方对AI工具风险与收益的认知——毕竟，攻击者同样可能利用同类工具。

"这标志着安全软件开发生命周期领域一个具有里程碑意义的转折点，"Prabhu表示，"此前的工具仅能进行静态代码漏洞扫描，而借助AI，动态学习模型成为可能，它还能实时执行动态漏洞检测乃至渗透测试。"

Prabhu表示，随着时间推移，采用AI辅助安全工具的压力很可能蔓延至更多大型软件供应商之外的企业。

Counterpoint Research研究副总裁Neil Shah指出，超过95%的财富500强企业在不同程度上使用微软Azure，Azure AI与Copilot套件则深度嵌入其中约65%的企业。此外，数百万家企业同样依赖多款微软产品和云服务。

"将Mythos应用于微软的安全开发生命周期，有助于强化Windows、Azure、Microsoft 365及开发者工具等产品的安全性，"Shah说，"所有运行这些产品的企业都能从安全改进中获益，而无需直接获取Mythos的访问权限。"

Prabhu还指出，微软表示已通过其开源基准测试对Mythos进行了评估，该测试面向真实世界的检测工程任务，结果显示Mythos相较于此前模型有显著提升。

"微软的这一表态确实说明，新一代AI模型在识别可被利用的漏洞方面正变得实质性地更为出色，"Prabhu补充道，"然而，与所有AI工具一样，其优势在于能够基于历史学习快速分析代码。但它也存在遗漏新型漏洞的可能性——而这类漏洞，或许只有'人工介入'才能识别。"

Q&A

Q1：Anthropic Mythos模型在网络安全领域有什么特别之处？

A：Anthropic Mythos是一款先进AI模型，能够在主流操作系统和浏览器中发现数以千计的严重安全漏洞，在AI驱动的漏洞研究领域实现了显著突破。它不仅支持静态代码扫描，还具备动态学习能力，可实时执行动态漏洞检测乃至渗透测试，大幅压缩了漏洞被发现到被利用之间的时间窗口，代表了AI安全工具的新一代水平。

Q2：微软将Mythos整合进安全开发生命周期对普通企业有什么影响？

A：超过95%的财富500强企业使用微软Azure，约65%的企业已深度部署Azure AI与Copilot套件。微软将Mythos整合进安全开发生命周期后，Windows、Azure、Microsoft 365等核心产品的安全性将得到加强。这意味着依赖这些产品的数百万家企业都能间接受益于安全改进，而无需自行获取Mythos的访问权限。

Q3：AI安全工具是否能完全替代人工进行漏洞检测？

A：目前不能完全替代。虽然Mythos等AI模型在基于历史学习快速分析代码、识别已知类型漏洞方面表现出色，但仍存在遗漏新型漏洞的可能性。对于攻击者全新创造的漏洞类型，AI模型可能缺乏足够的历史数据进行识别，此时仍需"人工介入"来弥补AI的盲区。