Anthropic Mythos重塑漏洞管理思路

在1979年的科幻经典《异形》中，艾伦·雷普利拒绝违反协议，因为她深知一旦未经核查的威胁越过气闸，整艘飞船都将面临危险。

如果诺斯特罗莫号的船员们听从了她的判断，大多数人或许都能幸存。然而现实是，他们面对的威胁进化速度远超协同应对的能力——这一银幕噩梦正在近几周成为现实：以Anthropic的Mythos为代表的AI安全系统表明，攻击可以绕过防控措施，并以机器速度超越传统防御体系。

对于CIO而言，Mythos及同类系统的出现，是一次重新审视漏洞管理流程的警示——在攻击已实现自动化、以机器速度执行的今天，大多数团队根本来不及响应。

Mythos测试揭露零日漏洞与长期积累的安全隐患

本月早些时候，Anthropic发布了Claude Mythos预览版，这是一款通用语言模型，将在"Project Glasswing"框架内使用。该项目汇聚了约50家开源、科技及网络安全领域的精选企业，包括AWS、苹果、Palo Alto Networks和英伟达，共同承担对该AI模型的测试任务。

Anthropic与Project Glasswing正在利用Mythos识别并利用开源代码库中的零日漏洞。Anthropic自身的测试结果显示，该AI"在用户指令下，能够识别并利用所有主流操作系统和主流浏览器中的零日漏洞"。测试中甚至发现了一些存在超过20年的漏洞。此外，据Gartner数据，Mythos所发现的潜在漏洞中，已被维护者完全修复的不足1%，超过99%的漏洞仍处于未修复状态。

对此，Anthropic对网络安全行业适应AI威胁持乐观态度。该公司认为，通过优先向特定群体开放Mythos，可以让安全防御方在类似AI模型广泛普及之前，抢先完成漏洞修复。

Anthropic表示："一旦安全格局达到新的平衡，我们相信强大的语言模型将更有利于防御方而非攻击方，从而提升整个软件生态系统的安全水平。优势将属于能够最大化利用这些工具的一方。"

AI压缩了漏洞发现与利用之间的窗口期

尽管Mythos目前尚未对外公开，但据研究机构Omdia的报告，恶意行为者正越来越多地利用AI"开发更复杂的AI恶意软件，并加速自适应攻击活动"。AI攻击的增加，正在动摇传统漏洞管理方式的根基。

随着恶意行为者借助AI自主生成代码入侵企业，留给安全团队处理漏洞的时间大幅缩短。网络安全运营技术公司HackerOne的CEO卡拉·斯普拉格在接受InformationWeek采访时表示："多年来，漏洞管理和暴露管理领域的安全团队，一直依赖漏洞被发现与攻击者形成可用利用程序之间存在的时间差——而这个时间差如今已经消失。"

此外，Mythos还能自主生成漏洞利用程序——它"能够将多个步骤串联起来构建复杂的利用链，并基于原本被认为是低危级别的发现来构建利用程序"，斯普拉格说道。

Gartner分析师徐丹尼斯表示，前沿大语言模型能够生成可实际突破企业系统的漏洞利用代码，这在此前是闻所未闻的。

漏洞被识别和利用的速度大幅提升，使漏洞管理工作愈发艰难。徐丹尼斯解释说，修复漏洞历来就是一项耗时的工作，因为这通常属于运维职能范畴。企业需要运行测试，确保补丁不会破坏任何软件系统或面向客户的平台，然后还需要确定补丁的实施时机，以避免影响正常业务运营。

"由于防御方通常需要对团队、运营和流程进行全面改造，而不仅仅是采用新技术，因此至少在企业侧，其适应速度往往慢于攻击方的推进速度，"斯普拉格解释道。

应对AI威胁的解决方案

调整网络安全策略以应对AI威胁，已刻不容缓。徐丹尼斯表示，尽管Mythos目前仅向Project Glasswing的少数成员企业开放，但其他前沿AI模型很可能在未来三到六个月内赶上Mythos的能力水平，而且新AI模型全面公开的可能性始终存在。

他补充说，短期内，CIO和CISO可以密切关注参与Project Glasswing的网络安全企业——如思科、Palo Alto和Zscaler——一旦这些公司发布补丁，应立即在自身组织内部部署。

从长远来看，徐丹尼斯表示，漏洞管理服务商可以借助AI模型更主动地识别软件漏洞，为企业提供支持。CIO和CISO应重新审视漏洞管理周期，并寻求更多方式来实现修复流程的自动化与提速。

Omdia首席分析师里克·特纳对此表示认同："防御方显然需要考虑部署基于AI的修复技术，至少在初期阶段，这仍需要人工介入。"

斯普拉格同样建议利用AI来抵御恶意攻击。她指出，企业应考虑采用能够过滤误报、验证漏洞是否可被实际利用的网络安全平台。

Q&A

Q1：Anthropic的Mythos是什么？它在网络安全领域能做什么？

A：Mythos是Anthropic发布的Claude Mythos预览版通用语言模型，目前在Project Glasswing框架内向约50家精选企业开放测试。它能够识别并利用开源代码库中的零日漏洞，覆盖所有主流操作系统和浏览器，甚至能发现存在超过20年的历史漏洞。更值得关注的是，Mythos可以自主生成漏洞利用代码，将多个低危发现串联成复杂攻击链，这是此前前沿大语言模型从未具备的能力。

Q2：AI的出现对传统漏洞管理方式带来了哪些冲击？

A：最核心的冲击是压缩了漏洞发现与被利用之间的时间窗口。传统漏洞管理依赖这段时间差让防御方完成修复，但AI让攻击者能以机器速度自动生成利用代码，这个窗口几乎消失。与此同时，打补丁本身仍是耗时的运维工作，需要测试兼容性、选择合适时机部署，防御方的响应速度天然慢于攻击方，这一矛盾在AI时代被进一步放大。

Q3：企业应该如何应对以AI为驱动的网络安全威胁？

A：短期内，CIO和CISO应密切跟踪参与Project Glasswing的安全厂商（如思科、Palo Alto、Zscaler），在其发布补丁后立即在内部部署。长期来看，应借助AI模型更主动地识别漏洞，推动修复流程自动化提速。同时，应考虑引入能过滤误报、验证漏洞可利用性的AI安全平台，并在初期保留人工审核环节，确保AI修复技术的可靠性。