Anthropic 新 AI 发现 27 年陈旧漏洞，迫使网络防御发生结构性转变

以 Anthropic 的 Mythos Preview 为首的一类人工智能模型目前正以足以压倒科技行业防御能力的规模发现安全漏洞。该模型最近在 OpenBSD 操作系统中发现了一个隐藏 27 年之久的漏洞，突显了这一能力。这标志着网络安全领域的结构性转变，从发现漏洞到将其武器化的时间正从数月缩短至数分钟。

Corridor 首席安全官、Facebook 前安全负责人 Alex Stamos 表示：“大语言模型（LLM）目前已经超越了人类寻找漏洞的能力。”随着 2025 年底先进模型的发布，高质量 AI 发现漏洞的激增引发了被一些人称为“漏洞末日”（bug armageddon）的现象，对整个软件补丁生命周期提出了挑战。

具体数据量化了防御者面临的压力。漏洞赏金平台 HackerOne 报告称，提交量较去年增长了 76%，而修复漏洞的平均时间则从 160 天激增至 230 天。与此同时，Anthropic 防御联盟的合作伙伴 Palo Alto Networks 报告称，最快的 AI 辅助攻击从初始访问到数据泄露仅需 25 分钟，这种速度是传统的企业补丁周期（通常以数天或数周计）无法匹敌的。

这种攻防之间日益加剧的不对称性对互联网的基础层构成了直接风险。全球大部分数字基础设施（从操作系统到金融服务）都建立在开源软件之上，而这些软件通常由规模较小、甚至是志愿者的团队维护，他们现在正面临着 AI 生成的漏洞报告的冲击。其风险在于，此前被忽视或冷门的软件正成为主要的攻击媒介。

漏洞发现与修补之间的差距不断扩大

维护关键基础设施的开发人员的经历说明了这种转变。30 年历史的数据传输工具 cURL 的首席开发人员 Daniel Stenberg 发现，2025 年其团队被大量虚假的 AI 生成漏洞报告所淹没。但到 2026 年初，情况发生了逆转。在这一年的前三个月里，他的团队修复的合法漏洞比过去两年的总和还要多，这主要归功于 AI 辅助研究人员提交的高质量报告。

这种加速带来了一场前所未有的挑战。Sysdig 的首席信息安全官（CISO）Sergej Epp 创建了一个“零日时钟”来可视化这一正在崩溃的时间线。八年前，漏洞公开披露到遭到攻击之间的平均时间为 847 天。2025 年，这一数字缩短为 23 天。而今年，大多数漏洞在一天内就会被利用。云安全联盟（CSA）警告称，安全组织可能会因为需要应用补丁以及应对 AI 发现的漏洞、利用程序和自主攻击而“不堪重负”。

Glasswing 项目形成防御阵线

作为回应，Anthropic 成立了 Project Glasswing，这是一个由约 50 家科技公司组成的联盟，包括微软、谷歌、亚马逊云服务（AWS）、思科和 Linux 基金会。该倡议允许这些合作伙伴访问尚未发布的 Mythos Preview 模型，以便在恶意行为者利用漏洞之前，先行发现并修复其系统中的缺陷。Anthropic 表示暂无公开分发的计划，理由是误用的风险极高。

“在 AI 出现之前，这些维护者就已经超负荷工作了，”正在尝试使用该模型来帮助保障 Linux 内核安全的 Linux 基金会首席执行官 Jim Zemlin 表示，“这只会让他们的生活变得更好。”

此举并非没有争议，五角大楼将 Anthropic 标记为“供应链风险”，因为其要求政府不要将该技术用于自主武器，Anthropic 正在对此决定提出异议。尽管如此，该联盟的成立凸显了该技术的双重用途性质。虽然模型可以用于防御，但其能力不可避免地会扩散。据估计，最先进的开源模型（任何人都可以修改以移除安全防护栏）仅落后于 Mythos 等私有模型不到一年的时间。

这一进展让软件行业感到一阵寒意，部分网络安全公司的股价因此下跌。投资者面临的核心风险在于，任何软件公司的价值部分取决于其安全态势。随着 AI 显著降低了寻找漏洞的成本，拥有大量陈旧代码或依赖资源匮乏的开源项目的公司将面临风险概况的重新估值。

本文仅供参考，不构成投资建议。