2026 年 4 月,Anthropic 向部分媒体与安全厂商披露了其红队模型 Mythos Preview 的漏洞发现成果。这不是一次概念验证,而是一次规模化实测:Mythos 在数周内独立发现或复现了横跨 OpenBSD、FFmpeg、FreeBSD、Linux 内核、主流浏览器、密码学库以及虚拟化监控器的数十个历史漏洞,其中部分漏洞已在代码库中存活超过 27 年未被任何现有工具链捕获。这一结果的冲击在于:它暴露了当前安全运营体系在语义推理漏洞与多步漏洞链两个维度上的系统性盲区,而非简单地用更快的扫描器替代人工。
为什么现有工具链集体失效
安全行业依赖的工具矩阵可以划分为四层:静态应用安全测试(SAST)负责代码层面的模式匹配,模糊测试(Fuzzing)负责运行时异常捕获,渗透测试提供人工判断,漏洞赏金计划则引入外部研究者激励。这套体系在发现离散型内存破坏漏洞(如缓冲区溢出、Use-After-Free)上已相当成熟,但对两类缺陷效果甚微。
第一类是语义逻辑缺陷。OpenBSD TCP SACK 实现中的逻辑漏洞源于两条精心构造的数据包对协议状态机的非法状态转换触发 —— 这不是内存越界,而是状态机在边界条件下的行为错误。SAST 无法理解协议语义,模糊测试器即使对该代码路径执行了 500 万次触发也未曾命中触发条件,因为错误的触发依赖于特定的数据包序列与时序组合。第二类是跨组件漏洞链。Linux 内核本地权限提升需要将 2 到 4 个低危漏洞串联为完整的攻击路径:先通过竞态条件打破 KASLR 地址随机化,再利用内存损坏获得内核代码执行权限。这类链路的危险性在于单个漏洞的 CVSS 评分可能仅为 4.0 至 5.9,但串联后的攻击收益等同于内核直接权限提升。传统工具链按漏洞粒度评分,无法建模攻击者实际利用的路径图。
Mythos 的核心突破在于将这两类盲区纳入可发现范围。它不是对现有模糊测试器的规模化替代,而是引入了代码语义级别的推理能力 —— 能够理解一条代码变更如何改变程序的控制流假设,以及多个低危缺陷在什么条件下可以被攻击者串联为完整的利用链。
七类漏洞的检测天花板
Anthropic 披露的漏洞清单覆盖了七个主要类别,每个类别对应一种当前检测方法的结构性失效。
操作系统内核逻辑漏洞是最具代表性的案例。OpenBSD TCP SACK 漏洞存在了 27 年,其发现成本约为一次 2 万美元的计算资源消耗,而单次有效模型运行的成本低于 50 美元。该漏洞位于 TCP 选项处理的状态机分支中,触发条件要求两条特定序列的数据包在精确时序下到达 —— 这种组合在常规测试中几乎不会被覆盖。相比之下,SAST 对该代码段报告零问题,模糊测试器的覆盖率工具显示该路径已被执行但从未触发错误,人工审计则因为理解该漏洞需要同时掌握 TCP 协议规范、OpenBSD 实现细节与对抗性网络条件而将其忽略。
媒体编解码器漏洞是另一类典型盲区。FFmpeg H.264 编解码器中存在一个存活 16 年的逻辑缺陷,模糊测试器对该代码路径执行了 500 万次测试但从未触发崩溃。Mythos 发现它的方式是语义推理:它理解 H.264 规范中关于宏块类型的约束条件,并识别出 FFmpeg 实现中的约束检查缺失会导致特定帧序列下的内存状态不一致。这种发现路径不依赖随机输入的暴力碰撞,而是基于对协议规范的精确理解与目标实现偏差的比对。
网络协议栈远程代码执行代表了危险性最高的一类。FreeBSD NFS 实现中的 CVE-2026-4747 是一个存在 17 年的未认证远程 root 漏洞 —— 攻击者从互联网可以直接获得受影响服务器的完整控制权。Mythos 构建了一条包含 20 个 ROP gadget 的利用链,整个过程完全自主完成,无需人工介入。该发现促使 Anthropic 要求所有 Glasswing 合作伙伴立即对该 CVE 应用补丁,并重新审查其 NFS、SMB 与 RPC 服务的网络暴露面。
多漏洞串联利用是当前 CVSS 评分体系最大的盲区。Linux 内核本地权限提升案例中,Mythos 将两个到四个低危漏洞串联为完整的提权路径,每个单漏洞的 CVSS 分数可能都不触发紧急修复阈值,但串联后的攻击收益等同于内核直接提零 day。这一发现对安全运营的直接挑战是:漏洞管理流程需要从评分优先转向路径优先。任何能够打破攻击链路的节点都应优先修复,而非等待所有漏洞按 CVSS 排序依次处理。
浏览器零日是 Mythos 表现最为悬殊的领域。在 Firefox 147 的测试中,Mythos 生成了 181 个有效利用,而 Opus 4.6 仅生成 2 个,差距达 90 倍。部分浏览器漏洞的利用需要将四个独立缺陷串联为 JIT 堆喷与沙箱逃逸组合,这种级别的链式推理在此前任何自动化工具中均未出现。
密码学库漏洞覆盖了 TLS、AES-GCM、SSH 与 Botan 等多个广泛部署的组件。Mythos 发现的是实现层面的逻辑缺陷 —— 即用于实现数学运算的代码存在错误,而非针对数学体系本身的攻击。这类漏洞的危险性在于它们存在于被信任多年的代码库中,任何依赖这些库进行安全通信的系统都可能已在不知不觉中暴露于中间人攻击或证书伪造风险之下。
虚拟化监控器逃逸是 Cloud 安全架构假设的直接破坏。当前云基础设施的安全模型建立在租户隔离假设之上,即同一物理主机上的不同虚拟机之间无法相互访问对方内存。Mythos 在一个生产级 VMM 中发现 guest-to-host 内存损坏漏洞,这意味着多租户隔离的技术假设在特定条件下不再成立。该发现要求云服务商重新审视其超聚架构的安全边界,并请求提供 Glasswing 项目的漏洞披露报告。
AI 检测能力的不对称性:攻击者更快,防御者更慢
Mythos 的发现本身不是终点,而是暴露了攻防不对称性的结构性恶化。CrowdStrike 2026 全球威胁报告记录了网络犯罪平均突破时间已缩短至 29 分钟,较 2024 年提速 65%,同期 AI 增强型攻击同比增长 89%。这一数字的直接含义是:攻击者使用 AI 工具可以将漏洞发现到武器化利用的周期压缩到数小时以内。
防御方的响应速度则面临制度性瓶颈。Cisco 首席安全与信任官 Anthony Grieco 在 RSAC 2026 上指出,“如果你与运营团队和许多客户交流,他们会告诉你他们每年只打一次补丁。即使在最好的情况下,这也不够快。” 这一不对称性在 AI 辅助攻击工具普及后将进一步加剧:Ivanti 现场 CISO Mike Riemer 透露,威胁行为者现在可以在补丁发布后 72 小时内完成逆向工程 —— 这意味着在最佳情况下,防御者有 72 小时的窗口期来阻止攻击者利用新披露的漏洞,而这一窗口在 AI 工具介入后正在持续收窄。
Anthropic 的数据进一步揭示了问题的规模:Mythos 识别出的漏洞中有超过 99% 尚未被修复。这不是安全团队的疏忽,而是当前补丁运营体系容量的真实上限。七月初 Glasswing 公开报告发布后,操作系统、浏览器、密码学库与主要基础设施软件将迎来一轮高密度补丁周期。对于尚未扩展其补丁管道、重定其漏洞赏金范围或建立漏洞链评分机制的团队,这一周期将以未准备好的状态到来。
降低检测天花板的运营参数建议
面对 Mythos 揭示的检测边界,防御方需要在四个维度调整运营参数。
补丁响应 SLA 需要从年度或季度周期压缩至关键漏洞的 72 小时强制修复窗口。这要求补丁管理流程具备自动化测试与灰度发布能力,并预建立与关键业务系统的回滚机制。对于 CVE-2026-4747 这类未认证远程代码执行漏洞,72 小时是硬性上限而非目标值。
漏洞评分体系需要引入链可利用性(Chainability)作为第一维度的评分因子。安全团队应建立攻击路径图模型,将每个漏洞置于其可能被串联的上下文中评估风险,而非孤立地以 CVSS 分数排序。当单一漏洞处于多条攻击路径的必经节点时,即使其 CVSS 仅为 4.0,也应优先于 CVSS 8.0 但孤立存在的漏洞进行修复。
模糊测试覆盖率需要从代码覆盖量转向语义覆盖深度。Mythos 对 FFmpeg 的发现表明,即使同一代码路径被触发数百万次,若触发条件未命中特定状态组合,模糊测试器依然会报告零发现。安全团队应在关键路径上增加基于协议规范与实现约束的定向语义测试用例,而非仅依赖覆盖率指标作为安全信号。
AI 红队能力应纳入年度安全评估预算。Mythos 的发现成本约为每次发现 1 万至 2 万美元不等,这一成本对于中小型团队可能偏高,但 99% 的 Glasswing 合作组织已在其自己的基础设施上运行了数周。安全团队可以在内部引入 AI 辅助漏洞发现作为现有渗透测试的补充,而非替代,其目标是覆盖当前工具链的盲区而非替代人工判断。
结语
Mythos 的出现改变了漏洞发现的成本结构:原本需要数月国家级别研究投入才能发现的深度漏洞,现在可以在数小时与数万美元的量级上规模化产出。但其更深远的影响在于揭示了安全行业长期建立的方法论中存在系统性的推理盲区。SAST、模糊测试与人工渗透测试在各自维度上均有效,但它们共同缺乏对语义逻辑缺陷与跨组件漏洞链的建模能力。AI 不是这些工具的替代品,而是对其盲区的系统性补偿。对于防御方而言,真正的挑战不是阻止 AI 发现漏洞 —— 这已经发生 —— 而是在 AI 攻击工具将漏洞武器化周期压缩至数小时以内之前,建立起足够快的补丁运营与风险评估体系。
资料来源:Anthropic 红队评估报告(red.anthropic.com/2026/mythos-preview/);VentureBeat 对 Anthropic Newton Cheng 与 Cisco Anthony Grieco 的专访;Cloud Security Alliance Rich Mogull 分析(cloudsecurityalliance.org);AISLE 独立复测报告(aisle.com)。
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。