2026年6月16日,沃顿商学院教授、AI研究者Ethan Mollick在X上发了一条推文。推文很短,核心判断只有一句话:假设开源模型在编程能力上继续落后闭源8-12个月,那么全球IT系统加固以应对Mythos级模型攻击力的倒计时,现在只剩下4到8个月。
这不是一个模糊的警告。这是一道精确的算术题:Anthropic的Claude Mythos在今年2月已在内部启用,4月以244页系统卡的形式公开了其网络安全能力。英国AI安全研究所(AISI)将其评定为"首个端到端完成企业网络攻防模拟"的模型。云安全联盟(CSA)称之为"强大到被刻意扣留、仅通过精选合作伙伴网络进行防御性部署"的模型。如果开源世界的编程能力确实以8-12个月的延迟追赶闭源前沿,那么大约在2026年10月至2027年2月之间,任何能下载开源权重的开发者,都将拥有与今天Mythos级别相当的漏洞挖掘和自主利用能力。
这意味着什么?意味着全球每一台运行着未修复漏洞的服务器、每一个还在使用老旧依赖的软件系统,都站在一根正在燃烧的引信上。而引信的长度,以月为单位计算。
Mythos到底能做什么
2026年3月26日,Fortune率先披露了一起泄露事件:Anthropic内部约3000个CMS资产意外暴露,其中包含两份草稿博文,分别标注"Mythos"和"Capybara"代号。Anthropic当天向Fortune确认了模型的存在,并公开称之为"一次阶跃式变化(a step change)"和"我们迄今构建的最强模型"。
三周后的4月7日,Anthropic发布了Claude Mythos Preview的244页系统卡、59页对齐风险报告,以及更新至3.0版的负责任扩展政策(RSP v3.0)。同一天,Project Glasswing正式启动。
但最震撼的不是文件厚度,而是系统卡和后续独立评估揭示的能力量级。这里有一个关键事实需要首先澄清:Mythos不是一个专门的网络安全攻击模型。用Mollick自己的话说,"Mythos看起来是一个非常能干的模型,但它不是一个网络安全模型——它是一个先进的通用模型。"它的网络攻击能力,是通用智能提升的副产品,不是被定向训练出来的。这一点恰恰更令人警惕——你不需要专门造一把更锋利的刀,你只需要造一个更聪明的大脑,它自己就会找到更锋利的用法。
CSA在随后发布的研究报告中给出了一个精准对比:前代旗舰Claude Opus 4.6在自主漏洞利用测试中,数百次尝试仅成功约2次——成功率接近零。它能在复杂代码库中发现关键漏洞,但几乎无法独立完成从代码分析到可用exploit的闭环。而Mythos Preview,用Anthropic红队报告中的原话说:
专家预估需要数周工作量的软件漏洞利用,被它在数小时内完成,成本仅数千美元。
它做了什么?遍历数百万行代码的代码库,通过源代码分析识别漏洞,然后将多个漏洞组合成功能性的exploit链——整个过程自主完成、可大规模并行化、速度无可比拟。目标是哪些软件?"几乎所有主流操作系统和浏览器中的数千个此前未知的高危漏洞",CSA写道,其中许多代码库已被专业安全研究人员审查了数年甚至数十年。
Linux内核?找到了新漏洞。以安全著称的OpenBSD?同样未能幸免。在FFmpeg上跑了500万次模糊测试(fuzzing)之后,它转向源代码分析,发现了一个依赖逻辑错误的边界条件缺陷——这类漏洞,传统fuzzing撞不到,只能靠阅读源码发现。而这正是人类安全研究员几十年来一直在做的事,只不过Mythos做得更快、更多、更不需要休息。
英国AISI的独立评估给出了另一个维度的确认:Mythos Preview是首个端到端完成AISI网络靶场攻击模拟的模型——一个人类专家估计需要约20小时才能完成的多步骤企业网络攻防任务。AISI的结论审慎但分量十足:
它至少具备自主攻击小型、防御薄弱且可访问网络的脆弱企业系统的能力。
为什么这次不一样
一、不是"能挖漏洞",而是"能工业化挖漏洞"
AI发现漏洞并不是新闻。GPT-4时代就有研究显示大语言模型可以辅助代码审计。问题从来不是"能不能",而是"能不能规模化、自主化、低成本化"。
Mythos Preview越过的,正是这条从"辅助工具"到"自主攻击者"的红线。
在它之前,Claude Opus 4.6能发现漏洞但几乎无法自主利用。这意味着攻击者仍然需要人类专家的介入来完成最关键的一步:把漏洞变成武器。人类专家的供给是有限的、昂贵的、有时间延迟的。而Mythos Preview打通了从"发现"到"利用"的全链条——不需要人。这是质的跃迁。
更值得警惕的是速度和成本。传统安全研究员分析一个复杂目标、识别新的内存破坏路径、开发可靠exploit、再将其与额外缺陷串联——这个过程可能需要数天到数周。而Mythos Preview呢?数小时,数千美元。
规模化意味着什么?意味着以前一个国家级APT组织要花上数月、投入数名顶级研究员才能挖到的一个零日漏洞,现在可以像流水线一样批量生产。
二、闭源扣留了模型,但扣不了多久
Anthropic的应对策略本身值得肯定,甚至可以说是负责任的典范。Project Glasswing从一开始就将Mythos Preview限制在40多个关键软件基础设施组织内使用——Amazon、Apple、Microsoft、Linux Foundation等首批合作伙伴。模型的唯一任务是用攻击性能力做防御性工作:找到漏洞,通知维护者,在恶意行为者之前修复。
6月,Anthropic将Glasswing扩展至约150个新组织,涵盖政府机构和关键基础设施部门,同时还宣布正在探索如何帮助开源维护者更快速地处理漏洞报告——在AI时代,漏洞报告数量已经激增。
美国财政部长Bessent和美联储主席Powell紧急召集华尔街高管开会讨论AI网络风险。6月9日,Anthropic甚至尝试了有限度的公开发布——Claude Fable 5(通用访问)和Claude Mythos 5(受限访问)同时上线。但仅三天后,6月12日,美国政府以国家安全出口指令迫使Anthropic暂停了全部公开访问权限。
这一切都在说明同一个信号:最高决策层对Mythos级能力被滥用的后果有清晰的认知,并且这种认知已经转化为直接的行政干预。
但问题是:光靠扣留一个模型,挡不住能力扩散。
4月30日,AISI对OpenAI的GPT-5.5进行了同样的网络靶场评估。结论是:GPT-5.5是第二个端到端完成AISI攻防模拟的模型,性能与Mythos"可比"——而且,GPT-5.5是对公众开放的。
两个不同开发商的前沿模型,在同一项评测中达到了相近的攻击能力。这不是孤例,这是一个能力台阶——整个产业正在登上它。
而开源世界从来不会缺席太久。Epoch AI的最新数据显示,截至2026年,最先进的开放权重模型在Epoch能力指数(ECI)上平均仅落后闭源前沿4个月,差距仅8个ECI分。在更广泛的benchmark性能上,开放模型的追赶速度仍在加速。但在训练计算量这个维度上,最大的开放模型仍落后闭源约15个月——这解释了为什么在最消耗算力的能力维度上,比如编程,差距会更大。
Ethan Mollick给出的8-12个月估计,正是集中在编程能力这个特定维度上。考虑到网络安全漏洞挖掘和利用恰恰是编程能力的直接下游应用,这个估计比通用ECI的4个月差距更为审慎,也更贴合场景。
三、GPT-5.5已经证明了"扣留无用"
如果Mythos是孤例,那么"扣留闭源模型+防御性部署"的策略在逻辑上是完整的。Anthropic守住自己的模型,其他家也没有——世界安全。
但GPT-5.5摧毁了这个假设。
OpenAI没有采用Project Glasswing那种高度受限的合作伙伴模式。GPT-5.5是对外开放的前沿模型,尽管OpenAI也将其网络安全能力评定为"High"级别(在其Preparedness Framework下),也推出了Trusted Access for Cyber(TAC)计划作为防御层的补充——但API访问的门槛远低于Mythos的精选合作伙伴网络。
西蒙·威利森在博客中一针见血地指出:
AISI评估了GPT-5.5,发现它在寻找安全漏洞方面与Mythos相当,但与Mythos不同的是,它目前对公众可用。
这意味着Mythos级的攻击性网络安全能力,已经不是"要不要放出来"的问题,而是"已经放出来了,只不过还没变成开源权重"的问题。Anthropic可以扣留一个Mythos,但扣不住OpenAI发布一个GPT-5.5。而当两个闭源厂商都已经拥有这项能力时,出现第三个、第四个只是时间问题。
而开源权重的出现,根据8-12个月的编程能力滞后期推算,只剩下4-8个月。
这4-8个月应该做什么
Mollick的推文还有后半句:"今天拥有公开可用且相对安全的Mythos级防御模型,至关重要。"
这句话容易被误读。他的意思不是"赶紧用Mythos来防御"——Mythos Preview本身并不对公众开放。他的意思是:在开源模型追上Mythos级攻击能力之前,需要确保市场上已经有可用的、被安全加固过的、以防御为设计目标的Mythos级模型。换句话说,不能让攻击者先用上Mythos级能力,而防御方只有上一代的工具。
这个逻辑成立的前提是:防御性AI的使用门槛必须低于攻击性AI的使用门槛。但历史经验表明,攻击总是比防御容易——攻击者只需要找到一个漏洞,防御者需要堵住所有漏洞。
三重紧迫
第一重紧迫:漏洞库存清理。Mythos Preview已经向Project Glasswing合作伙伴输出了数千个高危漏洞报告。这些漏洞正被陆续修复——但修复的速度取决于维护者的响应速度和补丁部署的节奏。在开源模型追上来之前,所有已知Mythos级漏洞必须修复完毕。这不是"能做就做"的安全卫生,这是一场与开源模型发布赛跑的防御工程。
第二重紧迫:系统架构加固。即便已知漏洞全部修复,当开源Mythos级模型出现后,攻击者可以用它来发现全新的漏洞——而且速度是工业级的。IT系统必须在架构层面进行加固,而不是依赖"打补丁"式的被动防御。零信任架构、最小权限原则、运行时应用自我保护(RASP)、不可变基础设施——这些概念已经讨论多年,但大规模落地一直欠缺动力。现在动力来了,而且是以倒计时的形式来的。
第三重紧迫:防御性AI军备。组织和安全厂商需要在这个窗口期内训练、部署自己的Mythos级防御模型——用于自动化代码审计、漏洞发现、攻击面管理和实时威胁响应。Project Glasswing给了我们一个模板:用攻击性AI能力做防御性工作。但这个模板不能只靠Anthropic一家执行。如果整个安全产业不能在这个窗口期内完成防御能力的升级,结果将是单方面的碾压。
谁会赢,谁危险?
最危险的,是那些运行着大量遗留系统、补丁周期以季度甚至年度计算的大型企业和政府机构。它们的攻击面之广、修复速度之慢,与Mythos级模型的漏洞产出速度之间,存在一个致命的不对称。AISI的评估已经明确指出,Mythos Preview至少能自主攻破"防御薄弱"的企业系统——而"防御薄弱"恰恰是大多数组织的真实状态。
最先受益的,将是那些能把这4-8个月窗口转化为产品优势的安全厂商。如果一家安全公司能在2026年底之前推出基于Mythos级能力构建的自动化漏洞管理系统,它将拥有一个至少持续到下一个能力台阶到来之前的先发优势窗口。
而对于AI行业本身,Mythos事件标志着一个分水岭:能力已经大到不能随便放出来了。未来每一个前沿模型,都必须首先回答一个问题——"如果它落入坏人之手,会怎样?"这个问题不再是一个伦理讨论题,而是一道必须在系统卡中给出量化答案的安全必答题。AISI对Mythos和GPT-5.5的独立评估已经为此提供了模板,但问题在于,不是每个国家的每个实验室都会邀请第三方来做同样的评估。
Ethan Mollick的倒计时不是预测,是一个提醒。4到8个月后,这个世界将第一次面对这样一个局面:任何能下载开源权重的开发者,手中都握有能工业化挖掘和利用软件漏洞的AI。届时,安全的定义将被重写——不是因为攻击者的手段变得更新颖,而是因为攻击的规模变得不可想象。
在这根引信烧完之前,每一台服务器上的每一个未修复漏洞,都是留给攻击者的弹药。而这一次,防御方不能再指望攻击者"没发现"——当模型可以批量发现时,"隐匿安全"(security through obscurity)彻底死亡。
快报