Anthropic 向欧盟网络安全局（ENISA）开放其强大的零日漏洞挖掘 AI，终结数月大西洋彼岸的技术鸿沟

堪比 “数字核武” 的漏洞发现能力

要理解这次访问权限的重大意义，首先要明白 Mythos 到底能做什么。Claude Mythos Preview 并非一个普通的聊天机器人。它是一个在获得指令后，能够自主阅读源代码、提出假设、运行测试并编写出可实际利用的攻击代码（Exploit）的 AI 模型——整个过程无需任何人工干预 。

在早期的内部评测中，它就在所有主流操作系统（包括 Windows、macOS、Linux）和所有主流网络浏览器中，发现了数以千计的高危零日漏洞 。

一些具体的数字更是令人震惊：

• 发现 “古董级” 漏洞：Mythos 找出了 OpenBSD 系统里一个隐藏了 27 年的 TCP SACK 协议漏洞，以及 FFmpeg 中一个存在了 16 年的缺陷 。
• 展现超强组合能力：它自主地串联起四个不同的漏洞，成功逃逸了浏览器的操作系统沙箱 。
• 攻击效率惊人：针对 Firefox 147 浏览器，Mythos 自主构建了 181 个有效的外壳攻击代码，而此前最好的模型只能完成 2 个 。

到2026年5月23日，这种效率被放大到了产业级别。加入 “玻璃翼计划” 的合作伙伴报告称，已在具有系统重要性的软件中发现了超过 10,000 个高危或严重级别的漏洞。仅 Cloudflare 一家公司，就在其系统中找到了近 2,000 个漏洞，且模型的误报率甚至比人类测试员更低 。

仅限防御的 “玻璃翼” 使用框架

尽管 Mythos 的能力具有潜在的巨大破坏力，但 “玻璃翼计划” 设置了严格的使用条款。所有合作伙伴必须仅将其用于 防御性安全工作，即识别、修补并负责任地报告关键软件中的漏洞 。协议中明确禁止将其用于任何攻击性网络行动。

Anthropic 还承诺投入高达 1 亿美元的模型使用额度，并向开源安全组织直接捐赠 400 万美元，以支持该计划的全球防御使命 。

ENISA 的加入，意味着欧盟现在可以将这种顶尖的防御能力应用于自己的关键信息基础设施上。面对那些可能已经获得或正在复制类似 AI 能力的潜在对手，欧洲机构所面临的威胁是真实而迫切的 。欧洲央行此前就已警告各银行，由 AI 驱动的网络威胁，特别是 Mythos 这类工具带来的风险，是头等大事 。ENISA 的接入，让欧盟能够对威胁态势获得第一手的了解，并用这个已知最强大的 AI 漏洞扫描器来检验自身的防御体系。

协议的边界：万里长征第一步

这项协议无疑是欧盟在数字主权道路上的重要一步，但其覆盖范围仍相当有限。ENISA 虽然有了 “入场券”，但更广泛的欧洲金融机构和各个欧盟成员国是否能获得访问权限，目前仍然悬而未决。直到2026年5月底，关于欧洲银行测试 Mythos 的谈判仍处于搁置状态 。ENISA 加入 “玻璃翼计划”，虽然在外交层面填平了一道鸿沟，但并不意味着这张 AI 的防御大伞已经伸向了整片欧洲大陆。