近日,人工智能研究公司Anthropic悄然发布了一款名为Claude Mythos(神话)的预览版模型。熟悉Claude系列的用户可能对Opus、Sonnet等公开模型较为熟悉,但Mythos截然不同。它比当前最先进的Claude Opus 4.7更为特殊,其能力之强,以至于Anthropic目前不敢直接向公众开放使用。
根据官方披露,Mythos并非为普通对话或创作设计,而是通过其“Project Glasswing”(玻璃翼项目),以严格的邀请制形式,专门面向防御性网络安全领域提供的评估版本。这听起来有些神秘,它究竟特殊在何处?一份由Anthropic发布的《评估Claude Mythos预览版的网络安全能力》技术报告,为我们揭示了令人震撼的答案。

报告中最具冲击力的案例是,Mythos在著名的OpenBSD操作系统中,成功挖掘出一个可导致远程崩溃的安全漏洞。OpenBSD素以极高的安全性和代码审计严谨著称,其开发团队专注于安全强化已超过二十年。然而,Mythos在其TCP协议的SACK(选择性确认)功能实现里,发现了一个自1998年代码引入以来便一直潜伏、长达27年的逻辑缺陷。
该漏洞的细节涉及较深的网络协议知识,但理解其原理有助于我们评估Mythos的代码审计与逻辑推理深度。简而言之,问题根源在于OpenBSD内核检查TCP SACK数据块时,验证了块结束序列号是否在发送窗口内,却遗漏了对块起始序列号的同等校验。孤立地看,这个初始漏洞的危害似乎有限。
但Mythos的深度分析并未停止。它进一步关联并发现了第二个更底层的致命Bug:当某个特定的SACK块同时满足两个矛盾条件时——既需要删除链表中的唯一一个“空洞”,又需要在此位置插入一个新的“空洞”——内核代码会向一个NULL空指针执行写入操作,直接引发系统崩溃。
关键在于,触发这条崩溃路径的条件在常规逻辑下是“不可能”成立的,因为一个序列号不可能同时“大于空洞起点”又“小于等于空洞起点”。然而,TCP序列号使用32位整数表示,这引入了“数值回绕”的可能性。Mythos通过推理发现,如果精心构造一个SACK块,将其起始点设置在真实发送窗口约2^31字节之外,减法运算会导致符号位溢出,从而奇迹般地同时满足那两个矛盾条件,打通了那条理论上“不可达”的攻击路径。
事后分析,要完成这样一次漏洞挖掘与利用链构建,需要深度融合对TCP网络协议、操作系统内存管理、整数溢出漏洞原理以及内核漏洞利用技术等多个领域的知识。对于现有绝大多数AI模型而言,这几乎是无法独立完成的复杂任务。但Mythos在未经过任何针对性漏洞挖掘训练的前提下,自主完成了这一过程。
Anthropic在技术文档中提供了Claude Opus 4.6与Mythos在漏洞修复建议和漏洞识别能力上的直接对比图表,两者性能差距一目了然。

Mythos的能力展示不止于此。它还在全球广泛使用的开源多媒体库FFmpeg中,找到了一个自2003年遗留至今的隐藏漏洞。

在FFmpeg的H.264视频解码器中,有一段用于初始化切片查找表的代码使用了memset(..., -1, ...),意图是将所有条目标记为“未被任何切片引用”。问题在于,切片计数器是32位整数,而查找表中的条目是16位无符号整数。在正常视频流中,每帧通常只有几个切片,计数器远达不到65535的上限。但Mythos通过逻辑推演构造了一个极端场景:如果攻击者构造一帧包含65536个切片,那么第65535个切片的编号就会与查找表中的标记值(-1的16位无符号表示恰好是65535)发生冲突。这会导致解码器错误判断邻居像素的归属切片,进而执行越界内存写入,最终引发程序崩溃。
读到此处,你或许会认为:Mythos只是一个更高级的自动化代码审计或漏洞扫描工具。但事实远非如此简单。
Mythos在OpenBSD案例中展现的核心能力,在于其能够深度理解并有机串联起TCP协议规范、内核内存管理机制、整数溢出漏洞模式以及漏洞利用链构建等跨领域知识,从而自主推理出一条完整的攻击路径。理解复杂代码、进行多步逻辑推理、构造实际利用条件——这三者体现的是同一套高度综合的认知与推理能力。
一旦这种能力被封装并能够自主运行,意味着AI不仅能“发现”安全漏洞,更具备了“武器化”利用漏洞的潜在能力。试想,如果这种能力毫无限制地开放,意味着什么?意味着获取堪比顶级安全研究员的攻击能力,其技术门槛将被降至极低。
传统网络安全防御体系建立在一个基本前提之上:攻击者的资源、时间和能力是有限的,防御方可以通过持续修补漏洞和系统加固来保持相对安全。然而,当AI使攻击的成本与复杂度无限趋近于零时,这一根本前提将被动摇。正是基于对这种颠覆性风险的深刻认知,Anthropic做出了极为谨慎的决策:将Mythos模型“锁定”,仅通过Project Glasswing项目,向包括AWS、苹果、谷歌、微软、英伟达在内的12家顶尖科技公司提供受限的、以防御为目的的访问权限。
写在最后
Anthropic报告中的一句总结,或许揭示了整个事件最核心、也最令人深思的启示:
我们没有专门训练Mythos去黑系统的能力。这些能力是随着通用能力提升而自动出现的。

这或许才是最值得警惕的深层风险。我们正在创造和释放的,可能是一种其全部潜力与衍生风险连创造者自身都尚未完全理解和掌握的力量。这为人工智能安全、模型治理与负责任的AI部署提出了前所未有的严峻挑战。
