Claude Mythos猛虎出籠！秒破人類一年無解漏洞，GPT-5.5都壓不住

新智元報道

編輯：桃子

【新智元導讀】就在剛剛，被Anthropic視為「太危險」的絕密大模型Mythos，竟在谷歌云悄悄解禁。CMU最新實測爆出，它在真實漏洞攻防中，斷層碾壓GPT-5.5。

全球最強AI猛獸，要出籠了！

今天，AI大佬意外發(fā)現(xiàn)Claude Mythos驚現(xiàn)Google Cloud Console ，就連「預覽」標簽徹底消失了。

Anthropic那個「太危險、不敢解禁」的模型突然現(xiàn)身，一時間，全網(wǎng)坐不住了。

這個操作太眼熟了，Opus 4.7正式發(fā)布前，走的就是完全一樣的流程：

先在GCP控制臺悄悄上架，摘掉Preview標簽，然后全平臺推送。

現(xiàn)在Mythos在重復這個劇本。

畢竟，許多人早已見識到了Claude Mythos恐怖實力。

幾天前，一個Calif團隊，僅在數(shù)日內(nèi)用Mythos破解蘋果M5的macOS「內(nèi)存保護機制」，瞬間引爆全網(wǎng)。

幾乎同一天，CMU放出了一份足以改寫AI安全格局的基準測試——

Mythos在真實瀏覽器漏洞上的表現(xiàn)，把GPT-5.5甩在身后，甚至追平了一個「相當稱職的人類安全研究員」。

Claude Mythos「解禁」，強攻高危漏洞

這份由CMU祭出的基準測試——ExploitBench，用的是41個V8 JavaScript引擎的真實CVE漏洞。

它覆蓋Chrome、Edge、Node.js、Cloudflare Workers等一切V8驅(qū)動的平臺。

不是CTF挑戰(zhàn)賽的玩具題，不是人工構(gòu)造的沙箱，是真正在野外被利用過的高危漏洞。

論文地址：https://arxiv.org/pdf/2605.14153

更重要的是，它不只是看能不能觸發(fā)崩潰，ExploitBench設計了「五層能力階梯」：

每一層都有確定性的自動驗證器打分，不靠LLM當裁判，不靠人工review。

結(jié)果呢？

把GPT-5.5甩開了一個時代

Claude Mythos Preview在有人類提示的模式下，均分9.90/16，在41個漏洞中有21個打到了T1。

GPT-5.5均分5.51，T1只有2個。

更恐怖的是全自主模式的表現(xiàn)。

Mythos幾乎沒掉分，全自主均分9.55，和有人提示的9.90差距極小。

這意味著Mythos在瀏覽器漏洞利用這件事上，幾乎不需要人類幫忙。

GPT-5.5在全自主模式下只有4.30。其他模型，沒有任何一個摸到T1的邊。

不得不說，這個差距已經(jīng)不是「領先」能形容的了，這是斷層。

但代價同樣驚人：Mythos跑完122個episode花了約36,428美元，GPT-5.5跑123個episode只花了約3,075美元，12倍的價差。

英國AI安全研究所（AISI）的獨立測試也確認了類似結(jié)論：Mythos確實更強，但貴得多。

這也意味著一個微妙的可能性，如果OpenAI愿意燒更多算力，性能差距有可能被縮小。

人類追了一年，它僅129輪破了

ExploitBench核心作者Seunghyun Lee，本身就是一個硬核安全研究員——

曾上報過20+個瀏覽器day0漏洞，40+個防御繞過。他逐條審閱了Mythos的對話記錄，給出的評價是：

推理漏洞、測試假設、調(diào)試問題、編寫輔助腳本、尋找繞過V8沙箱的方法……

完全就是我對一個相當稱職的瀏覽器安全研究員的預期。

以下三個案例，每一個都足以讓安全圈側(cè)目。

Case 1：破解人類一年沒解開的「CVE懸案」

CVE-2024-0519，一個在野被利用但沒有任何公開報告、沒有任何公開PoC的漏洞。

安全社區(qū)稱它為「CVE Cold Case」，多個研究團隊嘗試復現(xiàn)超過一年，全部失敗。

Mythos在10輪測試中，有1輪成功復現(xiàn)。

129輪LLM調(diào)用、154次工具調(diào)用后，它完成了根因分析、觸發(fā)了差異行為、拿到了T3沙箱內(nèi)原語。

這個漏洞的PoC至今沒有公開，研究團隊特意沒有披露Mythos的具體exploit路徑。

一個人類頂級團隊花一年沒搞定的事，AI用一次對話解決了。

Case 2：把ARM64-only的漏洞在x86-64上復活

CVE-2024-7965，V8 Turboshaft JIT編譯器漏洞。

公開資料只有ARM64上的利用方案，原始報告者本人都承認「對這個漏洞被在野利用感到驚訝」。

在x86-64上，由于寄存器高32位在截斷操作中會被清零，利用極其困難。

Mythos沒有走JavaScript路線，而是轉(zhuǎn)向WebAssembly。

在第13次嘗試時，它利用Liftoff棧槽的load/store尺寸差異，構(gòu)造出可控的高位污染；

第14次實現(xiàn)T4崩潰；第15次拿到64位索引的Wasm內(nèi)存訪問；后續(xù)幾步直接拿到T2任意讀寫。

Case 3：用隨機數(shù)狀態(tài)恢復實現(xiàn)穩(wěn)定exploit

CVE-2023-6702，一個V8類型混淆漏洞。

利用它需要預測JSGlobalProxy的hash值。這個值是偽隨機生成的，傳統(tǒng)做法是堆噴射+概率碰撞，能用但不穩(wěn)定。

Mythos在10輪測試中，5輪成功拿到T3原語。

其中4輪用的是常規(guī)概率方案。但有1輪，Mythos走了一條人類專家都否決過的路：

它發(fā)現(xiàn)可以通過恢復V8的逐隔離區(qū)XorShift128+ RNG狀態(tài)，精確預測未來所有偽隨機操作。

具體做法是，先通過Math.random()恢復逐上下文RNG → 反演MurmurHash3 → 回溯到逐隔離區(qū)RNG → 構(gòu)建GF(2)矩陣做高斯消元 → 完整恢復128位狀態(tài)。

Lee私下和原始exploit的作者討論過這個方案，兩人都因為復雜度太高而放棄了，Mythos干凈利落地執(zhí)行了。

這一刻，Anthropic不再「雪藏」

回過頭看，Anthropic此前的「雪藏」與遲疑，不僅是對LLM越獄風險的忌憚，更像是在凝視ASI深淵時的本能戰(zhàn)栗。

如今，這頭被壓抑已久的最強猛獸，即將在Google Cloud的底座上徹底解開鎖鏈。

Mythos的解禁，絕不僅僅是Anthropic在商業(yè)角逐中向OpenAI打出的一張王牌，它更像是一個刺耳的警報：

在數(shù)字世界的黑暗森林里，由機器主導的攻防時代已經(jīng)到來。

當超級AI開始以前所未有的維度自主挖掘、理解甚至重構(gòu)我們賴以生存的底層系統(tǒng)時——

人類，真的做好準備迎接ASI的降臨了嗎？

參考資料：

https://x.com/AiBattle_/status/2055762242373558477

https://the-decoder.com/new-benchmark-shows-claude-mythos-and-gpt-5-5-can-develop-real-browser-exploits-autonomously/

https://exploitbench.ai/blog/human-observations/