Claude Mythos其實(shí)沒那么神？AI發(fā)現(xiàn)bug其實(shí)早已是尋常

編輯｜Panda

Claude Mythos，一個(gè)以「神話」為名的模型，在宣傳中也具有堪稱神話級(jí)的能力 —— 能輕松發(fā)現(xiàn)和利用軟件漏洞，但它真有這么神嗎？

昨天，VIDOC Security Lab 的一篇博客介紹了他們的發(fā)現(xiàn)：Claude Mythos 的實(shí)力可能被高估了；或者說(shuō)，之前已有模型達(dá)到了同等的能力。正如研究者 Dawid Moczad?o 說(shuō)的那樣：「這并非一種新能力。」

他還表示他們已經(jīng)使用 GPT-5.4 成功復(fù)現(xiàn)了 Mythos 的研究結(jié)果。

這件事引發(fā)了廣泛討論，有些人對(duì) Anthropic 那種「我們的模型太強(qiáng)因此不能放出來(lái)」的論調(diào)大加諷刺。

也有人表示，這其實(shí)表明我們其實(shí)已經(jīng)邁過了 AGI 的起點(diǎn)：

當(dāng)然，這些研究也受到了一些人的質(zhì)疑：

下面我們就深入 VIDOC Security Lab 的博客文章，看看他們具體發(fā)現(xiàn)了什么：

博客地址：https://blog.vidocsecurity.com/blog/hype-ai-vulnerability-discovery-national-level

認(rèn)清 Mythos 炒作的現(xiàn)實(shí)

AI 漏洞發(fā)現(xiàn)早已是常規(guī)操作

Anthropic 最近發(fā)布的 Claude Mythos Preview 公告 [1] 引發(fā)了一陣熱潮，據(jù)報(bào)道，它發(fā)現(xiàn)了一個(gè)存在了 27 年之久的 OpenBSD 漏洞，這被一些人譽(yù)為網(wǎng)絡(luò)安全的突破性時(shí)刻。

但我們要面對(duì)現(xiàn)實(shí)：使用 LLM 來(lái)發(fā)現(xiàn)漏洞并沒有開創(chuàng)什么新先河。多年來(lái)，學(xué)術(shù)文獻(xiàn)一直在追蹤基于 LLM 的漏洞檢測(cè)。[2] 而在 Vidoc Security Lab，我們使用 Anthropic 和 OpenAI 模型積極開展這項(xiàng)工作也有一段時(shí)間了。真正值得關(guān)注的在于整個(gè)行業(yè)終于開始重視這個(gè)問題，AI 能夠發(fā)現(xiàn) bug 只不過是順理成章的事。

尋找 Linux 0day 漏洞絕非 Anthropic 最新受控發(fā)布模型的專屬超能力。

事實(shí)上，我們最近使用自己的引擎在 Linux 內(nèi)核中主動(dòng)發(fā)現(xiàn)了新的漏洞，這可以說(shuō)是世界上最安全的軟件之一。雖然我們目前還不能公開披露這些零日漏洞的完整利用細(xì)節(jié)，但它們已經(jīng)促使 Linux 內(nèi)核維護(hù)者 Greg Kroah-Hartman 直接發(fā)布了一系列補(bǔ)丁。

過去需要數(shù)百小時(shí)人工才能發(fā)現(xiàn)和驗(yàn)證的工作，我們的 LLM 僅僅在幾個(gè)小時(shí)內(nèi)就完成了，在短短 14 天內(nèi)就發(fā)現(xiàn)了一整批漏洞。

如果你需要更多證據(jù)來(lái)證明 AI 漏洞發(fā)現(xiàn)已是日常現(xiàn)實(shí)，不妨看看我們對(duì)主要開源項(xiàng)目的自動(dòng)掃描。我們最近混合使用了多款前沿模型對(duì)頂級(jí)開源代碼庫(kù)進(jìn)行了測(cè)試，這些模型包括 OpenAI 的 o3 、谷歌的 Gemini 2.5 Pro 以及 Anthropic 的 Sonnet 4。

結(jié)果立竿見影且極其嚴(yán)重。通過使用這些模型，我們?cè)诜浅Ｊ軞g迎的 Firecrawl 項(xiàng)目中發(fā)現(xiàn)了一個(gè)允許訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)器端請(qǐng)求偽造（SSRF）漏洞。該 bug 存在于 isIPv4Private 函數(shù)中，它未能將 172.16.0.0–172.31.255.255 段歸類為私有地址，這就允許攻擊者將域名指向內(nèi)部 IP 并讓 Firecrawl 去獲取它：

對(duì)于像 172.16.0.5 這樣的 IP，isIPv4Private () 錯(cuò)誤地返回了 false，因此 HTTP 請(qǐng)求在未受檢查的情況下被放行。在 Daytona 中，我們利用這些工具發(fā)現(xiàn)了一個(gè)關(guān)鍵的身份驗(yàn)證繞過漏洞，它允許用戶輕松訪問其他用戶的沙盒。智能體系統(tǒng)在緩存身份驗(yàn)證密鑰的有效性時(shí)，僅僅將身份驗(yàn)證密鑰作為緩存鍵，并沒有將其與沙盒 ID 綁定在一起。這意味著一個(gè)沙盒的有效密鑰會(huì)被所有其他沙盒視為有效：

這場(chǎng) AI 演進(jìn)的危險(xiǎn)之處絕無(wú)模型奇跡般發(fā)明新型軟件漏洞這回事。現(xiàn)實(shí)情況是：AI 編碼助手的涌入只是在讓現(xiàn)有的代碼安全問題成倍增加，并加劇了代碼庫(kù)的復(fù)雜性。

讓這些模型成為巨大威脅的原因純粹是經(jīng)濟(jì)層面的。漏洞利用開發(fā)中那些繁瑣、昂貴的「煩人中間環(huán)節(jié)」，比如重現(xiàn)崩潰、排除死胡同、編譯原語(yǔ)以及鏈接漏洞利用，突然變得廉價(jià)且自動(dòng)化了。

由于 AI 智能體擁有無(wú)限的耐心，那些依賴于認(rèn)定人類利用漏洞太耗時(shí)這一假設(shè)的安全防御機(jī)制正在崩潰。因此，在我們將最新的 AI 模型視為某種科幻黑客新奇事物之前，我們需要接受這樣一個(gè)事實(shí)： AI 輔助的漏洞發(fā)現(xiàn)已經(jīng)是一個(gè)成熟的威脅領(lǐng)域，并且我們?cè)谶@個(gè)領(lǐng)域中摸爬滾打已有一段時(shí)間了。

根據(jù) CrowdStrike 發(fā)布的《2026 年全球威脅報(bào)告》[3]，我們已經(jīng)正式進(jìn)入網(wǎng)絡(luò)戰(zhàn)的「智能體時(shí)代」，其標(biāo)志是 AI 賦能的對(duì)手發(fā)起的攻擊同比驚人地增長(zhǎng)了 89%。

壞人會(huì)用你的代碼做什么

要理解這種轉(zhuǎn)變的嚴(yán)重性，不妨看看企業(yè)源代碼被泄露后會(huì)發(fā)生什么。以最近與 Trivy 漏洞掃描器 [4] 相關(guān)的供應(yīng)鏈攻擊為例，威脅行為者破壞了 Cisco 的開發(fā)環(huán)境，并克隆了 300 多個(gè)包含專有源代碼和 AI 驅(qū)動(dòng)產(chǎn)品的 GitHub 代碼庫(kù)。

壞人一旦竊取了你的代碼，他們所做的再也絕非手動(dòng)、勞動(dòng)密集型的審查過程。

他們會(huì)立即將你的專有代碼庫(kù)輸入 LLM 中，以此來(lái)映射你的架構(gòu)、理解你的信任邊界，并自動(dòng)搜尋你遺漏的隱藏零日漏洞和業(yè)務(wù)邏輯缺陷。在 AI 加速的加持下，他們?cè)诙潭處滋靸?nèi)就能將新披露的漏洞武器化，在某些情況下，甚至在公開概念驗(yàn)證公布僅僅兩天后就能將漏洞利用投入實(shí)戰(zhàn)。

那么，你實(shí)際上能做些什么呢？

如果依靠制造阻力來(lái)實(shí)現(xiàn)安全的時(shí)代已經(jīng)終結(jié)，防御者就需要適應(yīng)機(jī)器速度。第一步也是最關(guān)鍵的一步是，趕在對(duì)手之前積極掃描你的代碼庫(kù)并修補(bǔ)漏洞。像快速修補(bǔ)這樣的硬性屏障，是面對(duì)擁有無(wú)限 AI 耐心的攻擊者時(shí)，為數(shù)不多能夠歷久彌新的防御策略之一。

然而，要發(fā)現(xiàn)這些復(fù)雜的缺陷需要用 AI 對(duì)抗 AI。你的防御策略必須包含來(lái)自不同供應(yīng)商的多種不同類型的模型。僅僅依賴單一工具或單一的經(jīng)過安全過濾的模型是遠(yuǎn)遠(yuǎn)不夠的，你需要利用多個(gè)前沿模型多樣化的推理能力來(lái)交叉驗(yàn)證并核實(shí)發(fā)現(xiàn)的結(jié)果。

參考文獻(xiàn)

1.Moczad?o, D. (2026, April 7). Claude Mythos Is a Backlog Visibility Warning for Enterprise Security Teams. Vidoc Security Lab Blog. https://blog.vidocsecurity.com/blog/project-glasswing-is-the-real-claude-mythos-story

2.Zhou, X., Cao, S., Sun, X., & Lo, D. (2024). Large Language Model for Vulnerability Detection and Repair: Literature Review and the Road Ahead. arXiv:2404.02525. https://arxiv.org/abs/2404.02525

3.CrowdStrike. (2026). 2026 Global Threat Report. CrowdStrike Inc. https://go.crowdstrike.com/2026-global-threat-report.html

4.Abrams, L. (2026, March 31). Cisco source code stolen in Trivy-linked dev environment breach. BleepingComputer. https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/