Post-Mythos Cybersecurity: Keep calm and carry on

背景

近期，Anthropic 发布了备受瞩目的 Claude Mythos Preview，随后推出了具有严格安全限制的等价版本 Fable 5。这一系列动作在网络安全领域引发了巨大的争议、恐惧与不确定性（FUD）。Anthropic 通过“Project Glasswing”项目，最初仅向 50 家机构开放访问权限，后扩展至 150 家，并宣称 Mythos 在自动化零日漏洞挖掘和攻击链测试方面取得了突破性进展，甚至被英国政府 AI 安全研究所评为首个在“专家级任务”中成功的模型。

然而，随着 Mythos 及其受限版本 Fable 5 的短暂发布与随后下架，以及美国政府对非美国公民访问 Fable/Mythos 的禁令，行业进入了一个充满变数的“后神话时代”。与此同时，OpenAI 也在通过 GPT-5.5-Cyber 和 Codex Security 插件等工具加速追赶，并在美国政府的监管压力下采取了更为谨慎的防御导向策略。本文旨在透过营销噪音，冷静分析 AI 在网络安全领域的真实能力、潜在风险以及对行业的长期影响。

核心内容

1. 营销叙事与真实能力的落差

Anthropic 一贯擅长在公关宣传中使用戏剧性措辞。Mythos 的发布伴随着对安全性的担忧和对监管的呼吁。尽管官方宣称其能发现数百个漏洞，包括 OpenBSD 中 27 年的老漏洞和 FFmpeg 中 16 年的老漏洞，但深入分析显示，这种进步是渐进式的，而非颠覆性的。

• 基准测试的局限性： Mythos 在 Cyber Range（网络靶场）测试中实现了从侦察到完全接管网络的“最后一击”，但这与真实的企业环境存在巨大差异。测试环境缺乏活跃防御者和防御工具，且模型执行触发警报的动作不会受到惩罚。在真实环境中，此类模型在侦察和横向移动时会显得极其嘈杂且笨拙。
• 竞争对手的表现： GPT-5.4 和 Opus 4.6 在高级 CTF 挑战中紧随其后。对于拥有成熟网络安全计划和专门 SOC（安全运营中心）的企业而言，这些基准测试的结果往往缺乏现实参考价值。

2. 漏洞发现的本质：成本而非智能的突破

关于 Mythos 能发现“关键零日漏洞”的说法，主要是 Project Glasswing 的营销论点。资深安全专家对此持怀疑态度：

• 陈旧漏洞并非新发现： 在拥有数十万行代码的开源产品中，存在数十年历史的漏洞并不罕见。这通常意味着此前无人具备足够的能力去检查该区域，而非漏洞本身难以发现。
• 高昂的成本驱动： Mythos 的优势在于其可扩展性，但这需要巨额资金支撑。Anthropic 的红队博客透露，为了发现 BSD 漏洞，模型在单个源代码文件上运行了数千次，耗时约 20,000 美元。整个 Glasswing 项目的代币预算高达一亿美元。
• 风险受众： 这种 exhaustive search（穷举搜索）带来的风险主要面向拥有先进网络安全资源的大型实体，而非普通的脚本小子（script kiddie）。

3. 模型能力评估：误报率与利用证明

虽然 Mythos 在漏洞发现上投入巨大，但其他模型也在通过更经济的方式取得进展：

• 替代方案的竞争力： DeepSeek 在云托管领域表现尚可，而 Gemma 4 和 Qwen 3.6 在自托管类别中表现出色，能够发现 Mythos 基准测试中约一半的漏洞。
• 误报率与利用证明： 有观点认为秘密在于“Harness”（测试框架）而非模型本身。虽然较小的 LLM 也能检测到许多漏洞，但它们无法生成有效的利用代码（Exploit）。Mythos 级别模型的优势在于不仅能发出警告，还能证明漏洞的可利用性，从而显著降低了早期 AI 漏洞挖掘中常见的误报问题。Mozilla 和 Cloudflare 均声称其误报率极低，优于人类测试人员，但这仍需更广泛访问后的验证。

4. 地缘政治与监管干预

• 美国政府的禁令： 美国政府禁止非美国公民（包括在美国境内的人）访问 Fable/Mythos，迫使 Anthropic 关闭了该服务。这反映了 Anthropic 多年来倡导的“更多政府参与以控制使用和减缓 AI 竞赛”策略的反噬。
• OpenAI 的防御性策略： OpenAI 推出了 GPT-5.5-Cyber 和 Codex Security 插件，以及等效项目“Daybreak”和“Patch the Planet”。与 Anthropic 不同，OpenAI 降低了恐惧营销色彩，专注于防御侧，并严格控制发布范围以避免触碰美国监管红线。这是一种“人为稀缺”，大型网络安全公司可访问并高价转售给其客户，而普通企业无法直接获得。

5. 最新动态（2026-6-27 更新）

局势发展迅速。OpenAI 发布了新模型家族 Sol、Terra 和 Luna，重点宣传其网络安全能力并与 Mythos 对比。这些模型同样偏向防御而非构建利用代码。然而，美国政府仍要求对访问新模型的机构进行审查。Anthropic 也重新开放 Mythos，但最初仅向 100 家美国机构开放。

关键要点

• 渐进式进步而非颠覆： Mythos 在网络安全任务上的表现是以往模型（如 GPT-5.4, Opus 4.6）的渐进式提升，而非质的飞跃。其优势主要源于巨大的计算成本和穷举搜索能力，而非模型智能的根本性突破。
• 真实环境与基准测试的差异： 官方发布的基准测试（如 Cyber Range）缺乏真实企业环境中的活跃防御和惩罚机制，导致模型在真实场景中可能表现不佳且噪音巨大。
• 经济门槛限制风险扩散： 实现此类自动化漏洞挖掘的成本极高（单漏洞发现成本约 2 万美元，项目总预算上亿美元），这意味着主要风险来自拥有雄厚资源的大型实体，而非普通攻击者。
• 误报率降低是核心价值： Mythos 级别模型的关键优势在于能够证明漏洞的可利用性，从而大幅降低误报率，这是早期 AI 漏洞挖掘工具的主要痛点。
• 监管与人为稀缺： 美国政府通过禁令和审查机制介入 AI 安全模型的部署，导致技术访问权受限。OpenAI 和 Anthropic 均采取了防御导向和受限发布的策略，形成了“负责任部署”名义下的人为稀缺，大型安全厂商成为主要受益者。
• 防御优于攻击： 当前主流 AI 安全模型（如 OpenAI 的新模型）的设计趋势是偏向防御和补丁生成，而非自动化攻击利用，以符合监管要求和伦理标准。

意义与影响

1. 网络安全行业的理性回归

Mythos 事件初期引发的恐慌揭示了行业对 AI 能力的过度想象。实际上，AI 在网络安全中的应用仍处于辅助阶段，其价值在于处理海量数据和降低误报，而非完全替代人类专家或实现全自动化的零日攻击。企业和安全团队应保持冷静，继续依赖成熟的防御体系和人工分析，避免被营销术语误导。

2. 安全支出的结构性变化

由于 AI 漏洞挖掘的高成本特性，中小企业可能难以直接利用此类技术进行主动防御或攻击。相反，大型网络安全公司将成为 AI 安全工具的主要入口，通过订阅服务将能力转售给客户。这可能导致安全服务市场的进一步集中化，中小企业需依赖第三方专业服务商来提升安全水位。

3. 监管成为 AI 安全发展的关键变量

美国政府的干预表明，AI 在网络安全领域的应用已不再仅仅是技术问题，而是地缘政治和国家安全问题。未来的 AI 安全模型开发将受到更严格的出口管制和访问限制。开发者需要在合规框架内设计产品，而用户则需关注数据主权和访问权限的不确定性。

4. 防御体系的适应性调整

尽管 AI 攻击能力有所提升，但其高昂的成本和当前的防御导向趋势意味着，传统的防御措施（如主动防御、入侵检测、代码审计）依然有效。企业应继续加强 SOC 建设，利用 AI 工具辅助分析，但不应过度依赖自动化攻击模拟。同时，需警惕 AI 生成的虚假警报，建立更智能的告警过滤机制。

**5. 长期展望：人机协作