在一项单独但相关的评估中,Mythos触发了微软归类为“不太可能被利用”的14个Windows漏洞中的13个,并将其中一个漏洞驱动至完全系统控制。微软的“低可利用性”评级目前覆盖了80%至90%的重要严重性漏洞,这意味着安全团队认为紧急的漏洞集可能需要扩大约5倍
。这个评级系统是为漏洞利用开发需要数周人类专家劳动的世界设计的,现在却低估了来自能在几分钟内完成同样工作的自主AI的威胁。
Anthropic披露中最令人不安的数字之一是成本。单次成功的零日漏洞发现运行成本低于50美元。一次完整的OpenBSD扫描活动——数千次运行——成本约为20,000美元,并发现了多个关键漏洞,其中包括OpenBSD的TCP协议栈中一个存在了27年的漏洞。构建一个Linux内核的N日root漏洞利用程序,其成本低于2,000美元
。Anthropic的整个红队活动,对于完整的代码库扫描,总成本远低于20,000美元
。
Anthropic于2026年4月7日至8日披露了Claude Mythos Preview,将其描述为一个前沿模型,能够自主发现并利用所有主流操作系统和Web浏览器中的零日漏洞,发现了数千个高严重性漏洞,其中包括躲过了数十年专家审查的缺陷。由于极高的双重用途风险,Anthropic并未公开发布Mythos。相反,它创建了Project Glasswing,一个受控的网络安全倡议,最初仅限于约50个合作组织,包括AWS、苹果、思科、谷歌、微软、摩根大通和Linux基金会
。
截至2026年6月,Glasswing正在扩展到超过15个国家的约150个组织,包括澳大利亚、英国以及几个欧盟和亚洲国家的国家安全机构。合作伙伴在发现被公开披露前,可获得90天的专属补丁窗口
。到2026年5月下旬,Mythos已在具有系统重要性的软件中发现超过10,000个高严重性或严重级别的漏洞
。
产业界响应: 思科加入了初始的Glasswing合作伙伴队列,与其它主要科技和网络安全公司一起,获得了对Mythos的早期访问权,以用于其自身和开源软件的防御性漏洞发现。Mozilla与Anthropic的内部合作早于完整的Mythos发布,其成果——修补了271个零日漏洞——展示了负责任使用时该模型的防御潜力
。
美国特朗普政府: 政策响应显得颇为波折。2026年4月,美国国家网络总监Sean Cairncross牵头与各机构进行沟通,但CISA的预算削减和内部政治斗争使得协调变得复杂。5月21日,特朗普否决了一项计划中的行政命令,该命令原本要求AI实验室在公开发布前90天,将前沿模型提交政府审查。他告诉记者,不想让任何事物拖慢美国对中国的领先优势
。
与此同时,包括财政部、美联储和行政管理与预算局(OMB)在内的多个行政机构,在4月的警告后匆忙寻求获得Mythos的访问权,其中财政部在特朗普早些时候指示停止使用Anthropic技术后,仍获得了紧急简报。
核心含义很明确:修复补丁发布能为防御者争取数周喘息时间的时代已经结束,至少在面对能够访问前沿AI的对手时是如此。这种不对称性是严峻的——企业仍然需要大约70天来打补丁,而AI可以在不到1小时内将同样的漏洞武器化。组织现在被迫重新考虑哪些漏洞被视为紧急事项,如何给补丁排序,以及他们的漏洞管理节奏能否在一个漏洞利用开发变得廉价、快速和自动化的世界中继续存活下去。