AI挖出数十年漏洞，补丁海啸即将来袭

Anthropic推出的Claude Mythos在网络安全领域引发了连锁反应——这一AI模型能够自主发现并利用数千个此前未知的软件漏洞，将从漏洞披露到遭受攻击的时间窗口从数周压缩至数小时，美国官员目前正在考虑采取重大举措以应对这一严峻形势。

机器级漏洞挖掘的新纪元

4月7日，Anthropic 发布了 Claude Mythos Preview，并同步推出"玻璃翼计划"（Project Glasswing）——一项受限访问计划，向约40家组织开放使用权限，包括苹果、亚马逊、微软、谷歌、CrowdStrike、英伟达、摩根大通 以及 Linux 基金会，且仅限用于防御性安全工作。Anthropic 在测试中发现，该模型能够识别出几乎所有主流操作系统和浏览器中数以千计的高危零日漏洞，认为其风险过高而不宜公开发布。其发现包括：一个已存在27年的 OpenBSD 漏洞、一个有17年历史的 FreeBSD 远程代码执行漏洞，以及一个存在16年的 FFmpeg 漏洞。在 Firefox 漏洞利用基准测试中，Mythos 生成了181个可用漏洞利用代码，而 Anthropic 上一款已发布模型仅生成2个，提升幅度约达90倍。

Anthropic 已承诺为 Mythos Preview 提供最高1亿美元的算力使用额度，并向开源安全组织捐款400万美元。目前，已发现的漏洞中逾99%仍未修复，也未公开披露。

时钟已经开始倒计时

本周，一个名为"Copy Fail"的 Linux 内核提权漏洞（编号 CVE-2026-31431）被公开披露，使现实世界的安全威胁变得触目惊心。进攻性安全公司 Theori 的研究人员利用其 AI 驱动平台 Xint Code，对 Linux 内核加密子系统扫描约一小时后发现了该漏洞。他们编写的 732 字节 Python 利用代码在 Ubuntu、Amazon Linux、RHEL 和 SUSE 上均实现了 100% 的成功率，可在 2017 年以来发布的内核版本上获取 root 权限。尽管修复补丁已于 4 月 1 日提交至主线内核，但在各大发行版尚未完成补丁分发之前，漏洞利用细节已于 4 月 29 日提前公开。

与此同时，路透社于 5 月 1 日报道，美国网络安全和基础设施安全局（CISA）正在考虑一项提案，拟将联邦机构的标准漏洞修复期限从三周大幅缩短至三天。同日，英国国家网络安全中心（NCSC）也发出警告，首席技术官 Ollie Whitehouse 呼吁各组织机构"做好准备，快速、频繁、大规模地部署补丁"，因为 AI 正在不断挖掘出数十年来潜伏于代码中的历史积弊。

防御者的困境

云安全联盟（Cloud Security Alliance）已就神话级（Mythos-class）能力所引发的即将到来的"AI漏洞风暴"发出警告，Radware威胁分析报告将网络攻击能力的平民化描述为"当下的现实"。Anthropic本身也建议各组织缩短补丁周期、启用自动更新并实现事件响应自动化。正如英国国家网络安全中心（NCSC）的怀特豪斯（Whitehouse）所言，多年来技术"走捷径"所累积的代价"正在到期，而且是集中兑现"。