Anthropic近日向部分企业展示其内部研发中的新一代AI模型Claude Mythos，并同步启动网络安全项目“Glasswing”，与40余家主要科技公司合作排查和修复漏洞。

Anthropic表示，此举意在降低Claude Mythos被黑客滥用的风险。该公司称，Claude Mythos已在主流操作系统和网页浏览器中发现数千个高危漏洞，其中包括一个27年来未被发现的OpenBSD漏洞、一处在经历500万次自动化测试后仍未暴露的FFmpeg视频编码器缺陷，以及一个可让攻击者完全接管用户设备的Linux内核漏洞。

利用AI模型发现安全漏洞并非新鲜事。不过，外界之所以对Claude Mythos格外警惕，关键在于其更强的推理能力。

媒体Platformer创办人兼编辑Casey Newton指出，过去的模型大多停留在“发现单个漏洞”的层面，而Claude Mythos能够在同一款软件中找出5个漏洞，并将其串联成一套连锁攻击路径。Newton还转述Anthropic的观点称，如果这种能力再与“无需人类介入、可长时间独立运行”的AI系统结合，网络安全风险可能迎来拐点。

参与“Glasswing”项目的企业包括Apple、Google、Microsoft、Cisco和Broadcom等。这些企业将负责对关键开源系统进行漏洞排查，并推动相关修复工作。

Cisco首席安全官Anthony Grieco表示，AI能力已经跨过临界点，保护关键基础设施的紧迫性也因此发生根本变化。网络安全公司Corridor首席产品官Alex Stamos则警告称，开源权重模型追平前沿基础模型漏洞检测能力的时间，可能已不到6个月；一旦这一节点到来，勒索软件攻击者几乎都能在不留痕迹的情况下发现并将漏洞武器化。

Newton还指出，围绕Claude Mythos的讨论也凸显出“权力集中”的问题，即单一公司在安全漏洞发现方面掌握了过大的影响力。

他援引媒体Argument运营者Kelsey Piper的观点称，在有关Claude Mythos的讨论中，一个尚未得到充分回应的问题是：一家民营企业竟可能对几乎所有知名软件项目都掌握强大到难以想象的零日漏洞发现能力。

随着能力与权力进一步集中，相关风险也可能被同步放大。Newton表示，窃取Anthropic模型权重的动机正在明显上升；与此同时，“Glasswing”背后还隐含着一个令人不安的前提——要保护人们免受危险AI模型的伤害，唯一办法似乎是先开发出同样危险的模型。他还指出，Anthropic正在一个监管几乎空白的环境中推进这项工作。