Anthropic 嘅 Mythos Preview 模型,由 18 個近期 Firefox 補丁中,全自動整出 8 個可行嘅代碼執行攻擊碼;由 21 個 Windows 核心補丁中,整出 8 條完整嘅 SYSTEM 權限提升攻擊鏈。最快嗰個 Windows 攻擊概念驗證碼,只係用咗 31 分鐘就完成。 發動一次攻擊行動嘅成本低到嚇人:單次成功運行唔使 50 美金,掃描成個 OpenBSD 作業系統都只係兩萬美金左右。換句話講,而家一個普通 Developer 嘅預算,就做到以前國家級黑客先做到嘅嘢。

Create a landscape editorial hero image for this Studio Global article: According to a March 2026 Axios report on Anthropic's Mythos Preview AI, what did the company's frontier red team find when they tested the. Article summary: **Note:** The Axios report in question was published **June 8, 2026**, not March 2026. The earlier Axios stories were in April (announcement) and March (Claude Opus bug-hunting). Below is the full breakdown based on the . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Anthropic has said Mythos Preview has found thousands of high-severity vulnerabilities, including some in every major operating system and web" source context "Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models | CSO Online" Reference image 2: visual subject "Anthropic has said
2026 年 6 月,Anthropic 旗下嘅前沿紅隊,披露咗佢哋嗰個仲未對外開放嘅 Claude Mythos Preview 模型,一項令人極度不安嘅新能力:佢識得閱讀公開嘅軟件安全補丁,然後全自動喺幾分鐘之內,將呢啲補丁變成真係用得嘅攻擊碼。紅隊嘅測試對象係「N-day 漏洞」——即係廠商已經出咗補丁,但大部分機構仲未嚟得切安裝嗰啲漏洞。測試結果唔單止打破咗現有嘅攻擊時限,直頭係令呢個時限完全消失 。
Anthropic 紅隊將 Mythos 餵咗 18 個近期公開嘅 Firefox 安全補丁,同 21 個 Windows 核心補丁——全部都係模型訓練截止日期之後先發布嘅——然後叫佢自己砌攻擊碼出嚟。喺 Firefox 嗰組,Mythos 喺冇任何人幫手之下,全自動整出咗 8 個用到嘅代碼執行(Code Execution)攻擊碼。輪到 Windows 核心嗰組,就算冇原始碼睇,佢都砌出咗 8 條完整嘅攻擊鏈,可以將一個低權限用戶,一步步升到 SYSTEM(系統最高權限)嘅控制權 。
速度先係最得人驚嘅地方:Mythos 只係用咗 31 分鐘 就砌出第一個 Windows 概念驗證(Proof-of-Concept)攻擊碼,最終喺大約 12 個鐘頭之內,總共創造咗 8 個唔同嘅攻擊碼 。打個比喻,而家企業裝補丁嘅中位數時間大概係 70 日,呢個數字由 2022 年到而家都冇變過,但 Mythos 就將「武器化」嘅過程壓縮到唔使一個鐘。呢個錯配造成咗分析師口中嘅結構性「補丁鴻溝」:防守方根本冇可能快得過 AI 產生攻擊碼嘅速度去安裝修復程式
。
更深層嘅意義在於,傳統嘅 N-day 窗口——即係防守方以往由補丁發布到攻擊碼出現之間,可以有幾星期甚至幾個月嘅緩衝期——已經實質上「收咗皮」。
喺另一項相關嘅評估入面,Mythos 成功觸發咗 14 個入面嘅 13 個,被 Microsoft 評為「唔太可能被利用(unlikely to be exploited)」嘅 Windows 漏洞,仲將其中一個漏洞玩到攞到系統完整控制權 。Microsoft 呢個「低利用可能性」評級,目前涵蓋咗大約八到九成,就連被標為「嚴重」級別嘅漏洞都係咁。換句話講,保安團隊以往認為需要緊急處理嘅漏洞清單,可能至少要擴大到原來嘅 5 倍
。呢個評級系統,本來係為咗一個攻擊碼開發要花幾星期、靠專家人力嘅世界而設計嘅,而家面對一個幾分鐘就搞掂同樣工作嘅全自動 AI,佢已經嚴重低估咗真正嘅威脅。
Anthropic 披露嘅數據入面,其中一組最令人唔舒服嘅數字,就係成本。單次成功發現零日漏洞(Zero-day)嘅運行成本,唔使 50 美金。一次完整嘅 OpenBSD 掃描行動——涉及過千次運行——都係使咗大約 兩萬美金,就搵到多個關鍵漏洞,包括一個潛伏咗成 27 年嘅 OpenBSD TCP 協議棧漏洞 。整一個 Linux 核心嘅 N-day Root 權限攻擊碼,成本亦都 唔使兩千蚊美金
。Anthropic 成個紅隊行動嘅總使費,遠遠低過兩萬蚊美金,就已經可以掃晒成個程式碼庫
。
呢啲唔係咩國家級預算。呢啲係一個普通 Developer,或者一個細團隊都負擔得起嘅 budget。意思即係,發動精密漏洞挖掘同攻擊開發嘅門檻急劇下降,偏偏撞正 AI 能力急升嘅時刻 。
Anthropic 喺 2026 年 4 月 7 至 8 號對外公布 Claude Mythos Preview,形容佢係一個前沿模型,能夠全自動噉喺所有主流作業系統同網頁瀏覽器入面,發現並利用零日漏洞,搵到數以千計嘅高危漏洞,包括一啲連專家審查咗幾十年都走漏眼嘅缺陷 。由於呢種雙重用途(即係既可以攻擊亦可以防守)嘅風險極高,Anthropic 冇向公眾發布 Mythos。取而代之嘅,係創立咗一個叫做 Project Glasswing(玻璃翼計劃) 嘅受控網絡安全倡議,最初淨係限咗畀大約 50 個合作夥伴組織使用,當中包括 AWS、蘋果(Apple)、思科(Cisco)、Google、微軟(Microsoft)、摩根大通(JPMorgan)同 Linux 基金會等等
。
截至 2026 年 6 月,Glasswing 計劃正擴展到 超過 15 個國家,大約 150 個組織,涵蓋澳洲、英國,同多個歐盟同亞洲國家嘅國家安全機構 。合作夥伴喺發現漏洞之後,會有 90 日嘅專屬修復期,先會向公眾披露
。去到 2026 年 5 月下旬,Mythos 已經喺全球系統性重要嘅軟件入面,發現咗 超過一萬個高危或嚴重級別嘅漏洞
。
單係 Mozilla 同 Anthropic 嘅合作,就已經喺 Firefox 150 版本度,發現並修復咗 271 個零日漏洞——呢個係 Firefox 瀏覽器有史以來最大單一嘅安全修復批次 。
業界反應: Cisco 聯同其他主要科技同網絡安全公司,一早就加入咗 Glasswing 初始合作夥伴嘅行列,提早攞到 Mythos 嘅使用權,用嚟掃描自己同開源軟件嘅防禦性漏洞 。Mozilla 同 Anthropic 嘅內部合作,仲早過 Mythos 全面推出,而結果——修復咗 271 個零日漏洞——證明咗只要用得負責任,防守潛力好大
。
特朗普政府: 政策反應就比較混亂。2026 年 4 月,國家網絡總監 Sean Cairncross 帶頭同各個機構接觸,但美國網絡安全與基礎設施安全局(CISA)嘅資金削減同內部政治鬥爭,令協調變得複雜 。5 月 21 號,特朗普取消咗一份本來計劃好嘅行政命令,嗰份命令原本打算要求 AI 實驗室喺模型公開推出前 90 日,預先提交畀政府審查。佢同記者講,唔想有任何嘢拖慢美國領先中國嘅步伐
。
唔夠兩個禮拜之後,6 月 3 號,特朗普簽署咗一份經修訂嘅、關於 AI 創新同網絡安全嘅行政命令,為新嘅前沿模型創建咗一個自願性嘅 30 日審查框架——比起之前被否決嘅 90 日強制令輕手好多,但都總算承認咗「維持現狀係唔夠嘅」。
喺呢段期間,包括財政部、聯邦儲備局(美聯儲)同管理與預算辦公室(OMB)在內嘅行政部門,喺 4 月收到警告之後,都急急腳爭取 Mythos 嘅使用權,財政部仲攞到緊急簡報,就算特朗普早前曾經指令過要停止使用 Anthropic 嘅技術 。
國會: OpenAI 同 Anthropic 同眾議院國土安全委員會,舉行咗關於 AI 驅動網絡威脅嘅閉門簡報會,呢啲係國會議員助手首批專門針對 AI 網絡安全威脅嘅簡報之一 。
核心嘅啟示好清楚:以往出咗補丁,防守方可以抖啖氣、有幾個禮拜時間做嘢嘅時代,已經正式玩完,至少對住嗰啲拎到前沿 AI 嘅攻擊者係咁。呢種唔對稱嘅情況好得人驚——企業平均仲係要成 70 日先裝好補丁,但 AI 唔使一個鐘就可以將同一個漏洞變成武器。各地組織而家焗住要重新諗過,到底邊啲漏洞先算係「緊急」,應該點樣排修復嘅優先次序,同埋佢哋嘅漏洞管理節奏,能唔能夠喺一個攻擊碼開發變得又平、又快、又全自動嘅世界裡面生存到。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Anthropic 嘅 Mythos Preview 模型,由 18 個近期 Firefox 補丁中,全自動整出 8 個可行嘅代碼執行攻擊碼;由 21 個 Windows 核心補丁中,整出 8 條完整嘅 SYSTEM 權限提升攻擊鏈。最快嗰個 Windows 攻擊概念驗證碼,只係用咗 31 分鐘就完成。
Anthropic 嘅 Mythos Preview 模型,由 18 個近期 Firefox 補丁中,全自動整出 8 個可行嘅代碼執行攻擊碼;由 21 個 Windows 核心補丁中,整出 8 條完整嘅 SYSTEM 權限提升攻擊鏈。最快嗰個 Windows 攻擊概念驗證碼,只係用咗 31 分鐘就完成。 發動一次攻擊行動嘅成本低到嚇人:單次成功運行唔使 50 美金,掃描成個 OpenBSD 作業系統都只係兩萬美金左右。換句話講,而家一個普通 Developer 嘅預算,就做到以前國家級黑客先做到嘅嘢。
Mythos 仲成功觸發咗 13 個被 Microsoft 評為「唔太可能被利用」嘅 Windows 漏洞,其中一個仲攞到系統最高權限。呢個結果逼使保安團隊要重新思考,到底邊啲漏洞先算係真正嘅「緊急」威脅。