Anthropic 于2026年4月9日披露其尚未公开发布的 Claude Mythos Preview 模型在独立测试中展现了惊人的漏洞挖掘能力,自主发现了数千个零日漏洞,覆盖所有主流操作系统和浏览器。其中包含一个存在27年的OpenBSD TCP SACK整数溢出漏洞,以及一个16年的FFmpeg H.264编码错误,这些漏洞曾逃过数百万次自动化测试和多次人工审计。
测试成绩全面超越前代
在Cybergym基准测试中,Claude Mythos达到 83.1% 的准确率,而前代Claude Opus 4.6仅为66.6%。在SWE-bench Verified上,Mythos得分为93.9%,远超Opus的80.8%;SWE-bench Pro中更是以77.8%对53.4%拉开24个百分点的差距。在Humanity's Last Exam(无工具辅助)中,Mythos取得56.8%,Opus为40.0%。
Mythos无需专门的安全训练即可完成这些任务。它从原始代码中自主推理,形成漏洞假设,编译并运行软件,使用Address Sanitizer等调试器,按漏洞概率排序文件,并生成包含可利用PoC(概念验证)的确认报告。在Firefox 147 JavaScript引擎测试中,Mythos生成了 181 个完整的Shell级利用 和29个寄存器控制实例,而Claude Opus 4.6仅生成2个Shell级利用。
Project Glasswing:防御性AI联盟
面对Mythos的惊人能力,Anthropic宣布启动 Project Glasswing,旨在将该模型的防御能力优先用于保护关键基础设施。创始合作伙伴包括Amazon Web Services、Apple、Broadcom、Cisco、Crowdstrike、Google、JPMorganChase、Linux Foundation、Microsoft、Nvidia和Palo Alto Networks,并将扩展至40多家其他组织。Anthropic提供高达 1亿美元 的Mythos使用信用额度给防御方。
到目前为止,只有不到1%的漏洞得到完全修复。Anthropic正在协调负责任披露流程,为未修复的问题发布SHA-3加密承诺,并在90+45天内公布完整细节。已披露的案例包括存在17年的FreeBSD NFS远程代码执行漏洞(CVE-2026-4747),允许完全未认证的root访问。
开源安全捐赠与政治行动
Anthropic还承诺捐赠400万美元用于开源安全:250万美元通过Linux Foundation的Alpha-Omega项目,150万美元给Apache Software Foundation。此外,公司于4月3日向联邦选举委员会(FEC)注册了其首个政治行动委员会 AnthroPAC,为即将到来的中期选举做准备,该选举将聚焦AI监管议题。
Anthropic承认,像Mythos这样的AI工具降低了发现和利用漏洞的门槛,警告短期内国家行为体(中国、伊朗、朝鲜、俄罗斯)及犯罪集团可能滥用类似能力。公司计划在未来的Claude Opus版本中加入安全防护措施,并推出面向验证安全专家的“网络验证”计划。预计90天内公布合作伙伴发现及已修复漏洞的公开报告。

