北京
上個月,Anthropic公司網站上一個沒設權限的頁面,把自家最不想公開的秘密抖了個干凈。這個叫Mythos的AI,據說能在幾秒內找出幾乎任何軟件的安全漏洞——不是演示用的玩具,是真能黑進去的那種。
消息傳開后,網絡安全圈的人心情復雜。一方面,這種能力確實讓人緊張;另一方面,大家也逐漸意識到,事情可能沒那么簡單。
今天我們就來聊聊:Mythos到底是什么?它真的像傳說的那么危險嗎?以及,為什么一家擔心AI被濫用的公司,反而在保密工作上栽了跟頭?
一、一個"意外"走漏風聲的黑客工具
Mythos是Anthropic開發的AI模型。按原計劃,它根本不會出現在公眾視野里。公司特意把它鎖在門后,理由很直接:這東西太擅長找安全漏洞了。
根據Anthropic自己在網站上的說法,Mythos能發現操作系統和各類軟件中的數千個高危和嚴重級別漏洞。用戶只要開口問,它就能指出哪里可以攻破。公司警告說,如果這種能力被濫用,"對經濟、公共安全和國家安全的后果可能很嚴重"。
但諷刺的是,這個被嚴密保護的模型, existence(存在本身)卻因為公司自己的疏忽暴露了。有人挖出了Anthropic網站上本不該公開的頁面——和后來有人非法接入測試版的路數如出一轍:猜出模型托管在哪里。
安全專家Davi Ottenheimer在博客中總結得很到位:這是一項"合法的技術能力,被利益相關方重新包裝成文明級別的威脅"。
二、不是誰都能用,但也不是完全鎖死
Mythos并沒有完全對外開放,但也沒有徹底隔絕。
Anthropic啟動了一個叫"Project Glasswing"的項目,向少數科技和金融行業巨頭提供訪問權限,包括亞馬遜云服務、蘋果、谷歌、摩根大通、微軟和英偉達。邏輯很直白:讓這些大公司先在自己軟件里找漏洞,總比被外人發現強。
然而,一個私人網絡論壇的成員也通過"有根據的猜測"找到了模型的托管位置,未經授權就接入了試用。這種獲取方式和Mythos本身被曝光的路徑幾乎一模一樣——都是猜到了東西放在哪兒。
這就有點尷尬了。一家反復強調網絡安全風險的公司,自己的網絡安全操作卻屢屢出現基礎疏漏。
三、行業反應:有人 alarm,有人冷靜
英國阿爾斯特大學的Kevin Curran表示,Mythos的曝光"觸發了整個安全行業的警報",但研究人員對實際威脅程度的判斷存在分歧。
核心爭議在于:當機器能在幾秒內完成人類需要數小時甚至數天才能完成的安全審計時,游戲規則確實變了。但"能找漏洞"和"會被濫用"之間,還隔著好幾道門檻。
首先,目前能接觸到Mythos的要么是Anthropic精心挑選的大客戶,要么是技術足夠高、能找到隱藏入口的圈內人。這和"隨便誰都能下載一個超級黑客工具"完全是兩回事。
其次,漏洞掃描本身是個雙刃劍。同樣的技術,白帽子用來修漏洞,黑帽子用來搞破壞。Mythos的能力邊界,很大程度上取決于誰在用它、用來干什么。
四、Anthropic的算盤:風險敘事與商業利益
這里有個微妙的張力。Anthropic一邊強調Mythos的危險性,一邊又通過Project Glasswing讓它接觸潛在客戶——而這些客戶恰好是公司最大的商業機會來源。
這種"我們有個很危險的東西,但會負責任地管理"的敘事,對Anthropic并非沒有好處。它既建立了技術領先的形象,又為未來的監管對話預留了空間。畢竟,如果你自己先喊"這東西危險",別人就很難指責你毫無顧忌地釋放它。
但Ottenheimer的觀察值得玩味:把一項技術能力重新框定為"文明威脅"的,正是能從這種框定中獲益的一方。這不是說Mythos不厲害,而是提醒我們注意話語背后的利益結構。
五、對普通人意味著什么?
如果你不是網絡安全從業者,Mythos的直接影響可能很有限。它不會明天就出現在你的手機上,也不會讓某個 teenager 隨便黑進銀行系統。
但它確實預示著幾個趨勢:
第一,AI找漏洞的速度和規模正在超越傳統安全工具。這意味著軟件公司需要更快響應,也意味著"被發現漏洞"和"被利用漏洞"之間的時間窗口在縮小。
第二,AI安全能力的集中化。像Mythos這樣的工具,很可能掌握在少數大公司和機構手中。這帶來一種新的不對稱:防守方和進攻方的技術差距,可能取決于你能不能進入那個有權限的圈子。
第三,保密與透明的永恒張力。Anthropic想藏住Mythos,結果藏了個寂寞。這幾乎是個隱喻:在高度互聯的技術生態里,試圖完全隱藏一項重要能力,本身就是件高風險的事。
六、還沒說完的事
關于Mythos,還有很多未知數。Anthropic沒有回應《新科學家》的采訪請求,所以我們不知道具體的技術細節、訓練數據、或者"數千個漏洞"的驗證標準。
我們也不知道,那些通過Project Glasswing使用Mythos的公司,到底發現了什么、修了什么、有沒有遇到誤報或漏報。
更根本的是,"能找漏洞的AI"這個品類,Mythos是獨一份還是只是開頭?如果其他實驗室也在開發類似能力,整個網絡安全的攻防節奏可能會集體加速。
但有一點是確定的:Mythos的曝光方式,和它被描述的危險性,形成了某種黑色幽默。一家擔心AI被惡意使用的公司,因為自己的網站配置失誤,讓全世界提前知道了他們最想保密的項目。而后來有人用同樣的方法——猜出托管位置——接入了 supposedly 受控的測試環境。
這大概是個提醒:在談論AI風險的時候,先把自家的門鎖好,可能是個不錯的起點。
至于Mythos本身,它確實改變了網絡安全的某些規則,但"改變"不等于"毀滅"。技術能力的演進從來都是這樣,有人看到威脅,有人看到工具,而真相往往在兩極之間。我們能做的,是保持對實際風險的清醒,同時警惕那些可能從"恐慌敘事"中獲益的話術包裝。
畢竟,真正危險的不只是AI能做什么,還有我們因為恐懼或貪婪,選擇讓它做什么。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
