Anthropic Mythos AI 引發網絡安全警報：點解政府、銀行同資安公司都開始緊張

例如，在部分披露的案例中，模型找出了一個存在 27 年之久的 OpenBSD 網絡堆疊漏洞，這個問題過去經過多年審查都未被發現。

不過，外界目前仍然缺乏完整的技術報告。關於模型到底發現了多少漏洞、成功生成 exploit 的比例如何，暫時都沒有獨立研究公開驗證。

點解 Anthropic 用 Project Glasswing 限制模型

Anthropic 沒有像一般 AI 模型那樣公開推出 Mythos，而是成立 Project Glasswing——一個受控的網絡安全合作計劃。

這個計劃集合了一小部分大型科技與安全機構，例如：

• Amazon Web Services（AWS）
• Apple
• Google
• Microsoft
• CrowdStrike
• Palo Alto Networks

這些機構共同使用 Mythos 來尋找並修補廣泛使用的軟件漏洞。

背後原因其實很直接：

如果一個 AI 可以大規模發現漏洞並生成攻擊方法，那麼黑客也可以用同樣方式。

因此 Anthropic 選擇先讓 防守方取得優勢——由可信任機構先找出漏洞並修補，再減少被攻擊者利用的機會。

某程度上，Glasswing 可以被視為一種 「防禦優先」的 AI 部署策略。

政府與監管機構的反應

Mythos 的消息很快引起政府與監管機構注意。

在美國，政策制定者已要求科技公司提供更多資料，以了解 AI 驅動網絡攻擊 的潛在風險。據報這些討論部分就是因為 Mythos 的能力而被觸發。

金融監管機構亦開始關注。原因是大量金融機構依賴的操作系統、開源軟件與網絡基礎設施，如果被發現漏洞，可能影響銀行或支付系統的安全。有報道指監管機構曾召集大型銀行高層討論相關風險。

國際組織方面，國際貨幣基金組織（IMF） 亦警告，像 Mythos 這類高階 AI 可能對全球金融基礎設施造成系統性風險，並呼籲各國需要加強合作。

同時，各國政府的網絡安全與情報部門亦開始研究：這類 AI 會如何改變未來的網絡防禦與攻擊能力。

AI 可能壓縮整個網絡攻擊周期

安全專家最擔心的一點，是 AI 可能令整個漏洞利用流程變得極快。

過去要找出一個嚴重漏洞，安全研究員往往要花 數月甚至數年。

即使有自動化 fuzzing 工具，大部分分析仍然需要人類研究員參與。

但如果 AI 可以：

• 自動搜尋漏洞
• 自動生成 exploit
• 自動測試攻擊方式

那麼 漏洞被發現、武器化、再到大規模攻擊 的時間，可能會大幅縮短。

資安分析師現在開始把這個現象稱為 「網絡風險周期縮短」。

初期事件與仍未解答的問題

即使 Mythos 沒有公開發布，安全疑慮仍然存在。

有報道指 2026 年曾發生一次事件：一小群人透過第三方供應商系統 未經授權進入 Mythos 測試環境。事件並不是 Anthropic 內部系統被直接入侵，但仍然引起關注。

由於公開資訊有限，外界仍有幾個重要問題未解：

• Mythos 實際發現了多少漏洞
• 模型把漏洞轉化成可運作 exploit 的成功率
• 其他國家或大型科技實驗室是否已有類似 AI

在沒有完整研究論文或基準測試的情況下，很多關於 Mythos 的能力仍然難以完全驗證。

更大的問題：AI 驅動的網絡安全軍備競賽

即使證據仍然有限，Mythos 事件已經反映出一個愈來愈清晰的趨勢：

AI 很可能很快會成為網絡安全領域最強大的工具之一，而且同時被攻擊方與防守方使用。

Anthropic 選擇限制模型、只透過防禦聯盟使用，其實反映出一個更大的擔憂：如果這類能力完全公開，可能會大幅提升網絡攻擊的規模與速度。

未來 Project Glasswing 能否成功維持這種平衡——用 AI 更快修補漏洞，而不是被攻擊者先利用——很可能會影響日後 前沿 AI 系統應該如何發布與監管。