政府測試揭示 Mythos AI：搵漏洞勁，但未能取代人類安全專家

與 GPT‑5.5 的差距其實未必大

市場上不少報道將 Mythos 描述成網絡安全 AI 的「領先者」，但政府測試顯示差距可能沒有想像中大。

AISI 在對 OpenAI GPT‑5.5 的網絡安全評估中指出，另一個開發商的模型已經達到 相近水平的表現 。

在同類型網絡任務測試中：

• Mythos 首次完成企業網絡攻擊模擬
• GPT‑5.5 成為 第二個完成同一任務的模型

一些第三方分析亦報告兩者在高難度任務上的通過率接近，但完整數據仍需官方公開報告確認 。

另外亦有研究指出，在某些漏洞測試場景中，較小或開源模型配合專門工具 亦能復現部分類似能力，顯示真正的護城河可能在整體工具鏈，而不只是模型本身 。

為何銀行與政府急於測試這類 AI

Mythos 引發各國金融監管機構關注，其中一個原因是 AI 可能同時強化攻擊者與防守方。

例如：

• 有報道指 Anthropic 計劃向 歐洲銀行 提供 Mythos 測試存取
• 日本三大銀行亦預計獲得該模型使用權，用於漏洞發現與防禦研究
• 日本政府更成立工作小組，評估 Mythos 帶來的網絡攻擊風險

背後邏輯其實很直接：如果 AI 可以更快找到漏洞，金融機構希望 先自己發現並修補，而不是等攻擊者利用。

AI 網絡能力正在快速提升

AISI 長期追蹤 AI 在網絡安全領域的能力變化。他們的數據顯示，在其測試環境中，AI 能夠獨立完成的網絡任務長度 自 2024 年以來平均每約 4.7 個月翻倍 。

英國國家網絡安全中心（NCSC）亦指出，前沿 AI 已經能夠在某些攻擊步驟上提供實際幫助，例如：

• 協助發現 zero‑day 漏洞
• 解決加密相關問題
• 編寫 exploit 程式碼

這意味著網絡安全正逐漸進入一種 AI 軍備競賽：防守者希望利用 AI 找漏洞，而監管機構則擔心同樣技術會降低網絡攻擊門檻。

總結：強力工具，但未到自動防禦時代

綜合目前政府測試與公開資料，Mythos 的合理定位是：

高槓桿的安全研究助手，而非完全自動化的防禦系統。

它在漏洞發現和攻擊流程推理方面確實非常強，但真正的挑戰仍包括：

• 誤報比例
• exploit 是否真能成功
• 在真實複雜系統中的可重現性

而隨著 GPT‑5.5 及其他模型迅速追上，未來網絡安全 AI 的競爭，很可能不只是模型能力，而是 整個工具鏈、成本與部署方式 的較量。