Anthropic开放Mythos AI威胁共享：网络安全防御为何需要这一步

这些漏洞可能存在于：

• 主流操作系统
• 常见浏览器
• 被广泛使用的软件库

如果这些问题被提前发现并修补，企业和政府机构就能在攻击发生前加强防御，从而降低大规模网络事件的风险。

但问题也很明显：同样的能力也可能被攻击者利用。如果这种工具被恶意使用，它可能自动化发现和利用系统弱点。因此 Anthropic 决定不公开发布该模型，而是只在受控环境中测试。

新的“威胁共享”机制如何运作

在最初的 Project Glasswing 规则中，参与者通常受保密协议限制，无法广泛分享通过 Mythos 发现的漏洞信息。

现在 Anthropic 修改了这一政策：

• 如果某个组织使用 Mythos 发现漏洞
• 他们可以通知其他可能受到同一漏洞影响的组织
• 这些组织可以更快打补丁或采取缓解措施

简单来说，这是一种 更接近传统“负责任漏洞披露”（Responsible Disclosure） 的做法——安全研究人员发现漏洞后，会在公开之前通知相关厂商和防御方，以避免被攻击者抢先利用。

支持者认为，这种信息共享能让整个软件生态系统更快地协同防御。

Project Glasswing有哪些参与者

Project Glasswing 汇集了多家大型科技公司、网络安全公司以及关键基础设施机构，与 Anthropic 一起测试该模型。

公开报道提到的参与者包括：

• Amazon Web Services (AWS)
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• Nvidia
• Palo Alto Networks
• Linux Foundation

这些组织负责维护或保护全球大量关键软件和网络基础设施，因此非常适合参与 AI辅助漏洞发现 的早期测试。

为什么访问仍然被严格限制

即使现在允许共享漏洞情报，Mythos 本身仍然处于高度限制状态。

原因很直接：它被认为能力过于强大，不适合公开发布。

研究人员和早期测试表明，该模型能够迅速发现许多严重漏洞。如果完全开放：

• 网络犯罪组织
• 国家级黑客团队
• 恶意攻击者

都可能利用它自动化寻找系统弱点。

因此 Anthropic 采取了多项控制措施：

• 只允许少数经过审查的机构使用
• 使用目的限定为防御性网络安全研究
• 在 Project Glasswing 的受控环境中运行模型

监管机构也在关注

这种 AI 驱动的漏洞发现能力已经引起政府和金融监管机构的注意。

据报道，多个国家的监管部门希望 Anthropic 就 Mythos 的潜在风险进行说明，因为该模型可能揭示 银行、支付系统等关键金融基础设施中的漏洞。

这意味着 AI 网络安全工具不再只是科技公司的问题，也可能涉及 国家安全和金融稳定。

更大的争论：防御速度 vs. 新的安全风险

Mythos 和 Project Glasswing 也引发了网络安全社区的一场更广泛讨论。

一部分专家认为：

• 更快的漏洞发现
• 更高效的协同披露

可以显著提升全球网络防御能力。

但另一部分人担心：

• 如果访问控制失效
• 或者模型能力泄露

这种技术可能 大幅降低网络攻击的成本，甚至让大规模漏洞扫描自动化。

Anthropic 当前采取的模式——限制访问、受控测试、有限共享信息——实际上是一种折中方案，试图在安全研究与风险控制之间找到平衡。

AI网络安全的未来信号

Project Glasswing 可能预示着网络安全即将进入一个新阶段：

AI系统发现漏洞的速度，可能很快超过人类安全研究员。

如果这一趋势持续，未来的关键问题将不再只是“如何找到漏洞”，而是：

• 谁可以使用这些工具
• 漏洞信息如何共享
• 如何防止技术被攻击者利用

从这个角度看，Project Glasswing 更像是一场现实世界的实验——尝试用前沿 AI 加强全球防御，同时避免它成为新的网络攻击武器。