AI「Bug海嘯」殺到！兩大神級模型點樣令保安人才身價三級跳

Claude Mythos：呢隻「攻擊猛獸」點樣改變遊戲規則？

Anthropic喺2026年4月7日推出咗Claude Mythos Preview。因為呢個模型嘅「攻擊力」實在太驚人，佢哋焗住要透過一個叫「Project Glasswing」嘅受限制計劃，淨係畀指定嘅防守方夥伴用，唔敢對外開放 。

英國嘅AI安全研究所（AISI）實測之後證實，只要畀Mythos接上網絡，佢就可以全自動執行多階段網絡攻擊，仲識得自己發現同利用漏洞——呢啲工作平時要畀人類專家搞幾日㗎 。

戰績方面更加得人驚：

• CTF解題率達到73%：喺專家級嘅「奪旗賽」挑戰入面，以前任何模型都係捧蛋，但Mythos一口氣解決咗73% 。
• 攻陷「The Last Ones」模擬戰：呢個係一個長達32步、模仿真實企業網絡嘅滲透模擬。Mythos係第一個可以由頭到尾行完嘅AI，試10次成功咗3次。就算係失敗嗰幾次，佢平均都行到24步，其他對手連16步都過唔到 。
• 識玩逆向工程寫漏洞攻擊：佢可以喺冇原始碼嘅情況下，逆向分析封閉軟件，將已知但未修補嘅「N-day漏洞」變成真正用到嘅攻擊工具。喺一個Firefox引擎嘅基準測試入面，佢開發咗181個有效嘅攻擊碼 。

正因為咁危險，Anthropic同佢嘅創始成員CrowdStrike，嚴格限制Mythos淨係用嚟做防守，例如漏洞掃描同攻擊模擬 。

GPT-5.4-Cyber：「防禦者嘅尚方寶劍」又點玩法？

過咗一個禮拜，輪到OpenAI出招。2026年4月14日，佢哋推出咗一個方向完全唔同嘅模型——GPT-5.4-Cyber。呢個係一款「網絡安全專用」嘅變體，專為防守方而設，刻意降低咗對某啲安全操作嘅「拒絕門檻」 。

簡單講，平時嘅AI見到「分析惡意軟件」、「拆解二進制檔案」呢類要求可能會耍手擰頭，但GPT-5.4-Cyber喺獲授權嘅情況下係肯做嘅。關鍵新功能包括：

• 二進制逆向工程：唔使原始碼，直接分析已編譯嘅軟件，揾出惡意代碼同漏洞 。
• 獲批嘅防守性任務：可以做惡意軟件分析、漏洞掃描同偵測工程 。

當然，呢把「寶劍」唔係人人用得。OpenAI設立咗「網絡安全可信存取計劃（TAC）」，只開放畀幾千名通過審查嘅專業Defender，同埋保護關鍵基礎設施嘅團隊。模型底層一樣有安全機制，會攔截例如偷Credential（登入憑證）呢類真正嘅惡意行為 。

「Bug海嘯」（Bugmageddon）殺到：係危定係機？

業界而家最Heat嘅詞語，叫「Bugmageddon」（Bug海嘯）。講緊嘅係AI工具發現漏洞嘅速度太快，多到傳統流程根本食唔晒。

• 漏洞大爆發：單係2026年Q1，就公開披露咗超過15,200個新漏洞，當中有40個確認已經畀人喺現實世界中利用緊，比2025年Q4激增43% 。AI驅動嘅漏洞發現工具，被視為呢個現象嘅直接推手。
• Bug Bounty（漏洞賞金）平台大亂：大量由AI生成、質素低、重複嘅報告湧入，搞到好多平台嘅審查管道塞爆晒，甚至有機構頂唔順要暫停成個懸賞計劃 。

不過，呢場海嘯並冇沖走所有人。Bugcrowd嘅2026年預測講得好啱：AI叻在揾常見嘅配置錯誤，但係嗰啲涉及複雜商業邏輯、真正值錢嘅「皇冠漏洞」，仍然要靠精英級嘅人類研究員。呢類人才只會更加搶手，酬金不跌反升 。

飯碗大洗牌：邊個上神枱？邊個被淹沒？

綜合以上因素，2026年嘅網絡保安職場出現咗明顯嘅兩極化趨勢。

1. 高階同專門職位：身價三級跳
事故應變主管、AI保安架構師、識得操作AI工具嘅漏洞研究員，呢類人才嚴重短缺，薪酬溢價極高。而家大概10% 嘅網絡保安招聘廣告會明確要求AI技能，超過64% 要求求職者識AI、機器學習或者自動化 。

2. 初級同例行工種：好景不再
以前靠住自動化掃描工具揾食嘅初級「揾Bug」崗位，正面臨被AI直接取代嘅壓力。不過同一時間，因為AI產生咗海量嘅警報同漏洞報告，需要大量人手去「分流」同判斷，呢啲位雖然性質變咗，但數量未必少咗。

3. 新嘅「技能溢價」
2026年最值錢嘅保安專家，唔再係最叻寫Code攻擊嗰個，而係最識得善用AI保安工具、分析AI產出嘅結果、同埋處理AI搞唔掂嘅複雜判斷嘅人才。將AI技能同深厚嘅保安知識結合，呢種「複合型人才」嘅身價，由以往每年Fill一次位，變成咗每星期都有獵頭打電話嚟撬人。