Claude Mythos Preview：AI 自動化漏洞發現的網絡安全新紀元

2026 年 4 月 7 日，Anthropic 正式宣布了一項名為 Project Glasswing 的開創性計劃，聯合全球科技巨頭，利用其最新的前沿模型 Claude Mythos Preview 來保護關鍵軟體基礎設施。這不僅是 AI 網絡安全領域的重大突破，更預示著我們進入了一個「AI 守護 AI」的新時代。

甚麼是 Claude Mythos Preview？

Claude Mythos Preview 是 Anthropic 迄今為止最先進的通用 AI 模型，儘管它並非專門為網絡安全訓練，卻展現出驚人的「代理編程與推理能力」，使其在漏洞發現方面表現卓越。根據官方發佈的基準測試，該模型在 SWE-bench Verified 上得分高達 93.9%，在 GPQA Diamond（研究生級別問答）上達到 94.6%，顯示其強大的通用推理水準。

真正令人震撼的是它的實際表現。Anthropic 披露，Mythos Preview 在近幾週內已發現「數以千計的高嚴重性漏洞，其中包括每一個主要操作系統和網頁瀏覽器中的漏洞」。更具突破性的是，該模型能夠「完全自主地」識別漏洞並開發相關的利用概念驗證（exploit），無需人類任何 steering。這意味著 AI 現在可以獨立完成從漏洞發現到攻擊鏈構建的完整過程。

Project Glasswing：前所未有的行業联盟

Project Glasswing 的陣容堪稱豪華。發起合作夥伴包括：

– 雲端與硬體：Amazon Web Services、Google、Microsoft、Apple、Nvidia、Broadcom
– 網絡安全：CrowdStrike、Palo Alto Networks、Cisco
– 開源與基礎設施：Linux Foundation、Apache Software Foundation
– 金融：JPMorgan Chase
– 其他：超過 40 家維護關鍵軟體基礎架構的組織

這種競爭對手聯合的現象極為罕見。正如 CrowdStrike 所言：「攻擊窗口已經坍塌——過去需要數月的時間，現在用 AI 只需幾分鐘。」單靠任何一家公司都無法單獨應對這項挑戰，因此行业联盟成為必然選擇。

技術能力：超越人類安全研究員？

Anthropic 的邊界紅隊（frontier red team）負責人 Logan Graham 向 WIRED 透露：「我們見過 Mythos Preview 完成高級安全研究員才能完成的事情。」具體能力包括：

1. 自動化漏洞掃描：掃描源代碼和二進制文件（無需源碼）
2. 攻擊鏈構建：將多個薄弱點串聯成完整攻擊路徑
3. 利用開發：自動生成可行 exploit 的代碼
4. 滲透測試：模擬真實攻擊者行為
5. 系統配置錯誤檢測：發現人為疏忽導致的安全隱患

AWS 已在自身關鍵代碼庫中測試 Mythos Preview，並表示它「已幫助我們加強代碼」。微軟將其與自家的 CTI-REALM 開源安全基準對比，發現「顯著改進」。Cisco 强调，随着 AI 能力跨越關鍵門檻，舊有的安全加固方法已不再足夠。

背後的技術原理

Dario Amodei 在發佈會上解釋道：「我們並沒有專門訓練它在網絡安全方面出色。我們訓練它在編程方面出色，但作為編程能力強的副作用，它也在網絡安全方面表現出色。」這種「能力遷移」現象表明，當 AI 模型達到足够高的通用推理水平時，其編程能力自然延伸至安全分析領域。

Mythos Preview 屬於 Claude 系列，據悉擁有更強的代理能力（agentic capabilities），能夠自主規劃、執行多步驟任務，並在過程中動態調整策略。這正是它能「完全自主」完成漏洞挖掘和利用開發的原因。

範圍與限制

目前.access 受到嚴格控制：
– 僅限 Project Glasswing 合作夥伴及其提名組織（共約 45+ 家）
– 不對外公开发布（public release），出於安全顧慮
– Anthropic 提供高达 1 億美元的用量抵用金和 400 萬美元的捐贈給開源安全組織
– 長期可能轉為付費服務，為 Anthropic 創造新收入流

這種「有限發放」策略類似於 NVIDIA 對最先進 GPU 的出口管制，目的是防止敵對勢力利用相同能力發動攻擊。正如 Graham 所說：「如果做得不謹慎，這可能成為一把雙刃劍。」

與美國政府的互動

值得注意的是，盡管 Anthropic 曾因供應鏈風險問題起诉特朗普政府，該公司仍與美國官員「持續討論」Mythos Preview 的攻擊與防禦能力。Dario Amodei 確認已向「美國政府高級官員」簡報了模型能力。這顯示出政府對 AI 網絡安全的高度重視，以及私營部門與公共部門在此领域的협作必要性。

挑戰與風險

IBM 和 Palo Alto Networks 的研究顯示，過去一年中 67% 的 1000 名高管表示其組織曾遭受 AI 驅動的網絡攻擊。Anthropic 自身去年也遭到漏洞利用攻擊，約 30 家全球組織受害。這凸顯了一個殘酷的現實：守護者與攻擊者之間的 AI 競賽已經開始。

專家警告，即使 Mythos Preview 用於防禦，其技術知識也可能被逆向工程或泄露，最終流向黑市中。此外，過度依賴 AI 可能導致人類安全專家技能退化，形成「自動化偏見」（automation bias）。

未來展望

Project Glasswing 是 AI 網絡安全領域的第一个大規模、行業主導的防禦性倡議。它的成功與否將決定我們是否能趕在敵對 AI 之前建立起有效的防線。正如 Graham 所說：「我們需要立即為這些能力在 6 個月、12 個月、24 個月內廣泛可用的世界做好準備。現代的許多安全範式假設可能會破碎。」

Anthropic 表示最終目標是讓「我們的用戶能夠大規模安全地部署 Mythos 級別模型」。如果實現，這將意味著每個開源維護者、每個中小企業都能獲得頂級安全研究员的 AI 副駕駛，大幅降低網絡防禦的進入門檻。

—

延伸閱讀：

– [Anthropic’s Mythos: AI Cybersecurity Reckoning]() – 深入分析 Mythos 對投資者與產業的影響
– [Anthropic AI LEAKED CLAUDE MYTHOS]() – 3 月洩露事件回顧與技術細節
– [Project Glasswing 官方頁面](https://www.anthropic.com/project/glasswing) – 完整合作夥伴名單與官方聲明
– [The Verge 報導](https://www.theverge.com/ai-artificial-intelligence/908114/anthropic-project-glasswing-cybersecurity) – 技術細節與採訪內容
– [WIRED 深度報導](https://www.wired.com/story/anthropic-mythos-preview-project-glasswing/) – 安全影響力與政策分析