Anthropic未发布AI Claude Mythos发现Linux/OpenBSD隐藏数十年的零日漏洞

Anthropic未发布AI Claude Mythos发现Linux/OpenBSD隐藏数十年的零日漏洞

N
News Editor 01
2026-07-08 14:20:16
Anthropic的未发布AI Claude Mythos Preview自主发现数千个零日漏洞,包括一个27年历史的OpenBSD漏洞和16年的FFmpeg bug。该公司同时启动Project Glasswing,投入1亿美元AI积分用于防御。
AnthropicClaude Mythos零日漏洞AI安全Project Glasswing

Anthropic的未发布AI模型Claude Mythos Preview在安全测试中展现了惊人能力:它自主发现了数千个高严重性的零日漏洞,覆盖所有主流操作系统和浏览器。其中包含一个存在27年的OpenBSD TCP SACK整数溢出漏洞和一个16年的FFmpeg H.264 bug——这些漏洞此前躲过了无数人工审计和自动化工具。

超高分安全基准测试

Claude Mythos在Cybergym安全基准测试中取得83.1%的得分,远超前代Claude Opus 4.6的66.6%。在SWE-bench Verified上,它获得93.9%(对比80.8%),SWE-bench Pro为77.8%(对比53.4%)。最令人瞩目的是,它在Humanity's Last Exam中无需任何工具便达到56.8%,而Opus 4.6仅为40.0%。这些进步源于更强的推理、多步规划和自主代理能力。

在没有专门训练网络安全的前提下,Mythos通过读取目标代码、形成内存安全假设、编译运行软件、借助Address Sanitizer等调试器,最终生成带有效利用代码的漏洞报告。整个过程几乎不需要人类干预。

27年与16年的“老”漏洞

Tomshardware.com报道,一个在OpenBSD中存在27年的TCP SACK漏洞(远程拒绝服务)被Mythos仅用约1000轮迭代、总成本不到2万美元便发现。另一个16年的FFmpeg H.264 bug则熬过了超过500万次自动化测试和多次安全审计才被Mythos发现。在Firefox 147的JavaScript引擎测试中,Mythos生成了181个完整的shell利用代码和29个寄存器控制实例,而Opus 4.6仅产出2个shell利用代码。

它还构建了有效的Linux内核权限提升链,从100个最近CVE中筛选出40个可利用候选,并成功利用其中超过一半。人类审核员对其漏洞报告的严重性评级一致率达89%,且98%的评级偏差不超过一个等级。

Project Glasswing:防御联盟

Anthropic于2026年4月7日宣布启动Project Glasswing——一个由多家巨头支持的防御性网络安全联盟。创始伙伴包括Amazon Web Services、Apple、Broadcom、Cisco、Crowdstrike、Google、JPMorganChase、Linux Foundation、Microsoft、Nvidia和Palo Alto Networks。Anthropic承诺提供高达1亿美元的Mythos使用积分,并捐赠400万美元用于开源安全:其中250万美元给Alpha-Omega(通过Linux Foundation的OpenSSF),150万美元给Apache Software Foundation。

目前仅不到1%的已发现漏洞被完全修补。Anthropic遵循负责任披露流程,对未修补漏洞发布加密SHA-3承诺,并在90+45天后公布完整细节。已公开的案例包括FreeBSD NFS服务器CVE-2026-4747(17年历史,允许未经验证的远程root访问)。

Anthropic警告,类似Mythos的工具将快速降低漏洞发现门槛,短期内中国、伊朗、朝鲜、俄罗斯等国家行为者和犯罪组织可能滥用。公司计划在后续Claude Opus版本中内置安全管控,并推出面向筛选后安全专家的Cyber Verification Program。一份关于合作伙伴发现和已修补漏洞的公开报告将在90天内发布。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。