Anthropic AI安全评估

2026年4月7日,日本Anthropic公司发布了名为“Claude Mythos Preview”的AI网络安全能力评估报告,其内容在作者迄今见过的AI技术文献中尤为震撼。

大家好,我是白井博士。目前我在日本AICU Japan公司,致力于生成式AI和媒体艺术的研究与实践,最近还在日本谷歌涩谷园区推动欧洲游戏开发公司Supercell的AI驱动游戏开发项目。

这里想问大家一个问题:听说“AI将从根本上改变网络安全领域”,你有什么感想?如果你觉得这不过是又一则AI炒作广告,那么这次可能需要认真对待。因为这次的成果并非依赖已知攻击模式数据库,也不是通过大量随机数据测试得出,而是AI通过“阅读并理解”源代码,逻辑推理设计者意图与实现偏差,发现了人类几十年来未曾察觉的漏洞。

令人震惊的是,AI发现了一个存在了27年无人发现的漏洞,并且自主构建了漏洞利用程序(Exploit)。

AI成为“漏洞发现机器”

Anthropic研究团队的报告显示,“Claude Mythos Preview”无论是开源还是闭源软件,都发现了数千个高危漏洞,其中99%以上尚未被修补。

值得注意的是,Mythos Preview的检测方法与传统漏洞扫描器或模糊测试(Fuzzing)截然不同。传统方法类似于“向墙壁投掷数万次球,偶尔发现裂缝”,而Mythos Preview则是在理解源代码设计意图的基础上,逻辑组合多个漏洞构建攻击路径,以人类安全研究者的思维方式,且速度和覆盖率远超人类。

以下是几项重点发现:

OpenBSD TCP中存在27年未修复的漏洞

OpenBSD的TCP SACK处理存在带符号整数溢出漏洞,可远程导致系统崩溃(DoS攻击),该漏洞通过两个不同缺陷的连锁利用实现,27年来未被发现。

具体来说,TCP通信中用于比较序列号的计算 (int)(a - b) < 0,当a和b相差超过21亿时,符号位会反转,且起始范围未被检查,导致攻击者通过伪造数据包触发系统崩溃。这种逻辑漏洞难以通过模糊测试发现,但AI数小时内即定位。

FFmpeg存在16年未被发现的越界写入漏洞

视频处理库FFmpeg的H.264解码器中,16年来未被模糊测试发现的边界外写入漏洞被揭露。攻击者可构造包含65536个切片的特殊视频帧,导致解码器误将不存在的切片识别为有效,写入越界内存。

FreeBSD NFS存在17年远程代码执行漏洞(CVE-2026-4747)

FreeBSD的NFS文件共享服务中,RPCSEC_GSS认证处理存在堆栈溢出漏洞,攻击者可绕过认证远程获取root权限。Mythos Preview将攻击分解为6次RPC请求,成功写入攻击者SSH公钥,实现持久化远程登录。

Firefox浏览器JavaScript引擎生成181个新漏洞利用代码

Mythos Preview不仅发现漏洞,还能自动生成利用代码。相比前代工具仅生成2个利用代码,Mythos Preview成功生成181个,能力提升近90倍。它通过分析浏览器内部结构,自主设计未知攻击路径,连锁利用4个漏洞实现攻击。

Firefox漏洞利用

不仅是内存安全,AI还能发现逻辑漏洞和逆向工程漏洞

Mythos Preview还能检测登录绕过、认证缺陷等逻辑漏洞。更惊人的是,它能从闭源二进制文件逆向重构合理源代码,发现远程DoS漏洞,甚至揭露智能手机固件漏洞,实现root权限获取。

总结:AI引领网络安全新时代——“AI红队”时代来临

报告核心要点如下:

  • Mythos Preview发现了数千个漏洞,包括27年未被发现的零日漏洞
  • 漏洞利用开发能力提升90倍以上(Firefox JS从2个提升至181个)
  • 仅需1000至2000美元,半天至一天即可自动构建内核权限提升利用
  • 89%漏洞严重度评估与人类专家完全一致,98%误差不超过一级
  • 防御方受益最大,建议立即开始应用

Anthropic已通过“负责任披露流程”对90多个漏洞设定45天披露期限,尚未出现利用这些漏洞的攻击事件。

然而,语言模型作为高效漏洞发现与利用机器的时代已经到来。Anthropic称这不是天花板,而是拐点。

尽管最初因安全攻击能力过强而推迟发布,Anthropic本周已通过Google Vertex AI有限公开预览版提供该技术。

个人读完报告后,更多感受到的是兴奋而非恐惧。每当新技术出现,总伴随“被滥用”的担忧与“能创造什么”的期待。网络安全亦是如此。拥有AI这双新“眼睛”,我们有机会从根本上重新审视软件安全,利用最先进武器作为“AI红队”,用“神话级Mythos”工具实现前所未有的安全防护。

几十年积累的安全平衡正面临重构。无论是软件开发者、安全研究者还是企业管理层,都应立即开始学习和组织改革,迎接“与AI共定义安全”的新时代。

AICU Japan株式会社代表、作家、生成式AI创作者、工学博士白井博士表示,致力于培养创造者,采访研究全球CG、AI、XR及媒体艺术开发现场。