Anthropic Claude Mythos AI发现Linux和OpenBSD数十年漏洞,启动Glasswing计划

Anthropic Claude Mythos AI发现Linux和OpenBSD数十年漏洞,启动Glasswing计划

N
News Editor 01
2026-07-08 14:20:16
Anthropic未发布AI Claude Mythos Preview在Cybergym评分83.1%,自主发现数千个零日漏洞,包括OpenBSD和FFmpeg中隐藏27年和16年的漏洞。公司启动Project Glasswing,投入1亿美元AI信用额度用于防御。
AI网络安全零日漏洞AnthropicClaude MythosProject Glasswing

Anthropic公司尚未正式发布的Claude Mythos Preview人工智能系统,在独立测试中自主发现了几乎所有主流操作系统和网页浏览器中的数千个高危零日漏洞。这一突破性能力促使Anthropic于2026年4月7日启动了“Project Glasswing”(玻璃翼计划),一个由11家创始伙伴支持的防御性网络安全联盟,并承诺提供高达1亿美元的AI使用积分用于防御。

Claude Mythos在Cybergym基准测试中取得83.1%的惊人成绩

据Anthropic称,该模型代表了“单一模型在AI历史上前所未有的能力跃升”。Claude Mythos Preview在Cybergym上得分83.1%,远超其前代Claude Opus 4.6的66.6%;在SWE-bench Verified上达到93.9%(Opus 4.6为80.8%);在SWE-bench Pro上达到77.8%(Opus 4.6为53.4%),领先24个百分点。在没有工具辅助的“人类最后考试”(Humanity's Last Exam)中,Mythos得分56.8%,而Opus 4.6仅为40.0%。

Mythos无需专门的网络安全训练即可发现漏洞。其改进源于更广泛的推理能力、多步规划和自主代理行为。给定一个隔离容器内的目标代码库,它会读取源代码、对内存安全漏洞形成假设、编译并运行软件、使用Address Sanitizer等调试器、根据漏洞概率对文件进行排序,并生成带有可验证利用代码的漏洞报告。

27年历史的OpenBSD漏洞和16年的FFmpeg漏洞被AI在数小时内攻克

Tomshardware.com报道,一个存在了27年的OpenBSD TCP SACK漏洞——一种微妙的整数溢出漏洞,允许远程攻击者通过构造恶意数据包使任何响应主机崩溃——被Mythos在约1000次运行后自主发现,总成本不到2万美元。另一个存在了16年的FFmpeg H.264漏洞,在经历了超过500万次自动化测试和多次人工审计后,最终被Mythos捕获。

在浏览器测试中,Mythos针对Firefox 147的JavaScript引擎生成了181个完整的shell利用和29个寄存器控制案例,而Claude Opus 4.6在同一测试集中仅产生了2个shell利用。该模型还构建了可行的Linux内核权限提升链——从服务器上的普通用户到root——它先筛选了100个近期CVE,过滤出40个可利用候选,并成功利用其中超过一半。人类验证者评估了Mythos生成的198份漏洞报告,在89%的案例中专家同意严重性评级,98%的案例中达成一个严重级别内的共识。

Project Glasswing:防御性网络安全联盟

Anthropic在发布模型的同时宣布了Project Glasswing。截至目前,发现的漏洞中不到1%已完全修补。Anthropic正在协调负责任的披露,为未修补问题发布加密SHA-3承诺,并遵循90天加45天的时间表,之后才会公布完整细节。例如,FreeBSD NFS服务器远程代码执行漏洞CVE-2026-4747,存在17年,可赋予完全未经认证的root访问权限,已经公开披露。

Project Glasswing创始伙伴包括亚马逊云服务(AWS)、苹果、博通、思科、Crowdstrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks。安thropic还承诺向开源安全捐赠400万美元:其中250万美元通过Linux基金会旗下的OpenSSF捐赠给Alpha-Omega项目,150万美元捐赠给Apache软件基金会。

Anthropic承认,像Mythos这样的AI工具降低了发现和利用漏洞的门槛,并指出了来自国家行为者(中国、伊朗、朝鲜、俄罗斯)和犯罪集团在类似能力不受控扩散时的短期风险。该公司表示,即将发布的Claude Opus将包含安全措施以检测和阻止危险的网络安全结果,并计划推出面向经过筛选的安全专业人员的“网络安全验证计划”。关于合作伙伴发现和已修补漏洞的公开报告预计在90天内发布。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
200

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。