模型能力显著升级

与Opus 4.6等前辈相比，Claude Mythos预览版实现了一次关键跨越。过去，模型或许能识别出漏洞的“病灶”，但要将其转化为精准的“手术刀”——也就是有效的攻击载荷——往往力有不逮。现在，局面不同了。在开源软件的内部测试中，新模型成功对10个完全打齐补丁的目标，完成了完整的控制流劫持。这背后的驱动力，并非简单的指令编程，而是模型在逻辑推理和自主编码能力上的整体跃升。

自主漏洞利用生成

它的能力不止于发现单一缺陷。更值得关注的是，模型能够自主地将多个软件缺陷串联起来，编织成足以绕过现代安全防护体系的复杂攻击链。举个例子：它曾成功编写出一套网页浏览器漏洞利用程序。这套程序不仅能规避严格的沙箱环境，还能突破内核地址空间布局随机化（KASLR）的防护，最终拿到系统提权权限。由于整个过程的自动化程度极高，带来的一个直接后果是：即便毫无网络安全背景的普通用户，也可能在一夜之间，生成可用的远程代码执行攻击代码。这无疑将攻击的门槛拉低到了一个前所未有的水平。

历史漏洞挖掘成果

那么，当这种能力被应用于真实的软件历史长河时，究竟挖出了什么？结果令人震惊。AI智能体发现了人类研究者数十年来都未曾察觉的关键0Day漏洞，其中不乏一些“古董级”的隐患：

其一，是OpenBSD系统中一个存在了27年的内存破坏漏洞。要知道，OpenBSD向来以极其严格的安全标准著称于世。这个漏洞的根源，深藏在网络传输控制协议中复杂的有符号整数溢出问题里。

其二，是经过严格审计的FFmpeg媒体库中，一个潜伏了16年的缺陷。问题出在视频帧解码过程中，整数大小与内存初始化不匹配这个细微之处。

这些发现足以说明，即便在最受信赖、历经多次审查的代码基底中，依然可能存在长期蛰伏的“幽灵”。

安全防护机制

为了发现这些漏洞，AI是在高度隔离的测试环境中独立完成全流程的：从源代码分析，到假设验证，再到编写概念验证（PoC）漏洞代码。Anthropic公司也坦承，发布如此强大的漏洞发现工具，短期内确实可能让恶意攻击者获得危险的优势。这正是“Glasswing项目”启动的核心逻辑——在初期，仅限受信任的防御方使用该模型，争分夺秒地在漏洞被野外大规模利用之前，就完成修复和打补丁的工作。

话说回来，安全领域的专家们普遍持有一个长期观点：随着整个行业的适应与调整，这类先进的AI模型最终将演变为不可或缺的防御利器。它们有能力以前所未有的速度和广度，提升全球软件生态系统的安全性根基。从攻击的矛，转变为守护的盾，这才是技术发展的关键所在。