2026 年 4 月 7 日,Anthropic 發布了一篇公告。沒有產品發表會,沒有 demo 影片,沒有「開放所有人使用」的歡呼。
反而是一句讓整個資安圈屏息的話:我們的新模型在幾週內找到了數千個零日漏洞——包括一個藏了 17 年的遠程代碼執行漏洞。
然後 Anthropic 說:這個模型太危險了,我們不會公開發布。
這不是 AI 公司常見的行銷話術。他們是認真的。
Claude Mythos 是什麼?為什麼你該在意
Claude Mythos Preview 是 Anthropic 最新的 AI 模型。它跟你用的 Claude 4.6 不一樣——這個版本在電腦安全任務上的能力,用 Anthropic 自己的話說,是「前所未見的」。
具體有多強?Anthropic 讓它去掃描全球主流軟體的原始碼。結果:
- 每一個主流作業系統(Windows、macOS、Linux)都被找到零日漏洞
- 每一個主流瀏覽器(Chrome、Firefox、Safari、Edge)都被找到零日漏洞
- 一個 FreeBSD 的 17 年老漏洞——任何人都能透過 NFS 拿到 root 權限(已編號 CVE-2026-4747)
- 一個 OpenBSD 的 27 年老漏洞——OpenBSD 是以「安全」聞名的系統
- 一個 FFmpeg H.264 編碼器的 16 年老漏洞——全世界幾乎所有影片播放器都用 FFmpeg
最讓人不安的數字:超過 99% 被找到的漏洞還沒有被修補。Anthropic 認為公開細節是不負責任的,所以只揭露了上面幾個已經被修復的。
不是找到漏洞就了不起——是它自己找到、自己利用
人類資安研究員找零日漏洞,通常需要幾週到幾個月。而且大多數時候,找到漏洞是一回事,成功利用它是另一回事。
Claude Mythos 不只是找到漏洞。它能完全自主地理解漏洞的運作方式,然後寫出可以利用它的攻擊程式。那個 17 年的 FreeBSD 漏洞?Mythos 從發現到成功取得 root 權限,全程自動,不需要人類指導。
這意味著什麼?如果這個能力落到攻擊者手上,他們不需要是頂尖駭客——只需要有一個夠強的 AI 模型。
Project Glasswing:Anthropic 的解法
Anthropic 的選擇是:與其讓所有人都拿到這把刀,不如先把刀交給防守方。
這就是 Project Glasswing——一個由 Anthropic 主導的合作計畫,把 Claude Mythos 的能力用在防禦上。目前只有約 50 家經過篩選的組織能使用,包括:
| 合作夥伴 | 領域 |
|---|---|
| Apple | 作業系統 / 生態 |
| 瀏覽器 / 雲端 | |
| Microsoft | 作業系統 / 企業 |
| Amazon Web Services | 雲端基礎設施 |
| NVIDIA | GPU / AI 基礎設施 |
| Cisco | 網路設備 |
| Broadcom | 晶片 / 基礎設施 |
| Palo Alto Networks | 資安 |
| JPMorgan Chase | 金融 |
| Linux Foundation | 開源生態 |
除了這些大名字,還有超過 40 個維護關鍵軟體基礎設施的組織也拿到了存取權。
想法很簡單:讓防守方先修好漏洞,趕在同等能力的 AI 被其他人開發出來之前。這是一場跟時間的賽跑。
這跟你有什麼關係?
你可能覺得零日漏洞離你很遠。但想想看:
你正在用的瀏覽器、作業系統、影片播放器,裡面有數千個連開發者都不知道的安全漏洞。以前,能找到並利用這些漏洞的人很少,所以「漏洞多」不等於「你會被攻擊」。
但現在,一個 AI 模型可以在幾週內把這些漏洞全部找出來。如果類似能力的模型被開源或外洩,攻擊成本會大幅降低。
資安攻防的天平正在傾斜——不是因為駭客變強了,是因為 AI 把「找漏洞」這件事的門檻從「頂尖專家」降到了「有 GPU 的人」。
AI 公司之間的資安軍備競賽
Anthropic 不是唯一在做這件事的。OpenAI 也在投資 AI 資安能力。但 Anthropic 的做法比較特別:他們沒有把這個能力包裝成產品賣錢,而是選擇了「有限度釋出 + 協調漏洞揭露」的路線。
這背後的邏輯是:如果 Anthropic 能做到,其他 AI 實驗室遲早也能做到。與其讓大家毫無準備地面對 AI 驅動的攻擊,不如先讓防守方用上同等級的武器。
不過,這也引發了爭議。Bruce Schneier(知名密碼學家和資安評論者)在他的部落格上分析了 Mythos Preview 和 Project Glasswing,指出這種「防守先行」的策略有其侷限——因為你永遠不知道攻擊方已經掌握了什麼。
對幣圈和投資者的影響
如果你是幣圈的人,這件事值得特別注意。加密貨幣的安全性建立在密碼學和軟體基礎設施上。交易所、錢包、DeFi 協議——每一層都依賴底層軟體沒有被攻破。
當 AI 能大規模發現零日漏洞時,DeFi 智能合約的審計需求會暴增,而傳統的人工審計速度跟不上。這可能催生一波「AI 驅動的智能合約審計」工具——對投資者來說,這是一個值得關注的賽道。
同時,如果你在交易所上存了大量資產,這也是一個提醒:不要把雞蛋放在同一個籃子裡。冷錢包、多簽、分散存放——這些老生常談的安全措施,在 AI 時代反而更重要了。
我的看法
Claude Mythos 讓我想到核武器的類比。核武器被發明出來之後,你不可能「忘掉」怎麼做。AI 在資安領域的能力也一樣——一旦有人證明 AI 可以自主發現和利用零日漏洞,這個知識就不可逆了。
Anthropic 選擇先給防守方用,而不是公開發布或賣給出價最高的人——我認為這是目前最不壞的選擇。但我也不會天真地以為這能阻止什麼。其他實驗室、其他國家的團隊,遲早會做出類似的東西。
真正的問題不是「AI 能不能找到零日漏洞」——答案已經是 yes。問題是:防守方能不能跑得比攻擊方快?
目前看來,Anthropic 在幫防守方搶時間。但這場競賽不會有終點。
免責聲明:本文僅為資訊分享和個人觀點,不構成任何投資建議。截至 2026 年 4 月,文中提及的工具功能和定價可能已有變動,請以官方最新資訊為準。
發表迴響