Cisco用AI極速捉蟲，模型勁到唔敢公開賣，但漏洞數字就死守秘密

Cisco內部用嚟駕馭呢啲模型嘅框架叫做「Cisco Foundry Security Spec」，佢哋仲試過用喺6個前沿AI模型度，確保呢個框架唔會綁死喺某一款模型。用Cisco自己嘅說話嚟講：「模型係加速劑；框架先至係引擎」 。

特許夥伴計劃：Project Glasswing 同 Daybreak

Cisco係兩大業界「用AI打網絡保衛戰」計劃嘅創始成員。

Anthropic嘅Project Glasswing： 喺2026年4月推出，Project Glasswing俾一班精挑細選嘅合作夥伴，喺嚴格條件下用Claude Mythos Preview。目標係想喺攻擊者利用漏洞之前，先搵到同修補好關鍵軟件嘅問題。創始成員包括AWS、Apple、Google、Microsoft、Nvidia、CrowdStrike、Linux Foundation同Cisco 。呢個計劃透過一個協調披露框架運作，會用負責任嘅方式向軟件維護者報告搵到嘅漏洞 。

OpenAI嘅Daybreak： 喺2026年5月11日公佈，Daybreak係OpenAI直接同Project Glasswing打對台嘅計劃。佢建基於GPT-5.5同Codex Security，捆綁咗三種模型級別，背後有一個專為保安而設嘅AI代理框架，用嚟大規模自動化審查程式碼同驗證修補程式。Cisco同Cloudflare、CrowdStrike、Palo Alto Networks一齊，係呢個計劃嘅創始生態系統合作夥伴 。

呢兩個計劃，代表緊AI業界一個根本嘅理念分歧。Anthropic認為，控制最危險模型嘅使用權限，先係提升全球網絡安全嘅最佳方法；而OpenAI就推動更廣泛、分級嘅使用權限——包括俾各級政府機構——務求「成個場」都係用AI嘅防守者 。

行動嘅理由：防禦嘅逼切性

Cisco講到明，佢哋嘅動機好簡單：AI驅動嘅攻擊已經唔再係理論，防守一方冇可能再用番人嘅速度去應對。Anthropic當初公佈扣起Claude Mythos Preview唔賣嘅時候，同時透露咗呢個模型已經搵到支撐互聯網同整體經濟嘅關鍵軟件基建嘅弱點 。弦外之音好清楚：如果防守方唔快啲用呢啲模型，對手遲早都會攞到同等嘅攻擊能力。

Cisco將今次掃描18億行程式碼嘅行動，形容成一場同時間競賽，要趕喺攻擊者之前。公司指出，前沿模型「正以前所未有嘅規模發現漏洞，而且呢樣嘢唔係一次過搞掂。呢啲模型會不斷搵到新漏洞」 。透過掃描成個產品線，Cisco希望快過啲黑客一步——佢哋可能會用類似嘅模型嚟搵同啲弱點，但目的就係惡意嘅。

尷尬嘅沉默：Cisco死都唔肯講搵到幾多Bug

雖然Cisco大事宣傳AI掃描有幾快、規模有幾大，但佢哋就系統性咁迴避咗一個最重要嘅問題：AI模型到底搵到幾多個漏洞？多份報告都證實，Cisco「拒絕透露發現嘅漏洞總數」，唔肯俾任何數字、嚴重性細分，或者有幾多個係屬於「危急」或「可被利用」級別 。

呢種沉默製造咗一個好明顯嘅信譽問題。如果AI真係搵到幾千個嚴重漏洞，公佈個數字出嚟會係最好嘅證明——但同時都可能嚇親客戶同監管機構。如果搵到嘅漏洞相對好少，咁「8星期對比8年」嘅講法就會立即站不住腳。無論係邊種情況，Cisco都選擇咗將數字收埋，同時大讚AI掃描嘅「變革性力量」 。

政策大轉變：AI提速下，可預測嘅漏洞公佈

喺2026年Cisco Live上，有一項實際、明確嘅改變：由7月開始，Cisco放棄以前「隨時爆鑊」嘅漏洞公佈方式，改為一個可以預測、定時定候嘅做法。公司以後會喺每個月嘅第1同第3個星期三發佈保安公告，仲會提前7日通知，列出每個批次會涵蓋邊啲科技同平台 。

呢個改變嘅理由，同AI掃描計劃直接掛鉤。Cisco嘅產品安全事件應變小組（PSIRT）預計，AI加速咗嘅漏洞發現，會令佢哋搵到嘅問題數量大幅增加，每個月兩次嘅公佈頻率，係想俾企業客戶有足夠嘅可預測性，等佢哋可以計劃好修補週期，而唔使成日臨急臨忙咁應對嗰啲突然爆出嚟嘅保安公告 。如果嗰個星期冇嘢要公佈，Cisco都會出聲講明 。

英國評估機構嘅發現：AI網絡能力每4.7個月翻一番

正當Cisco掃描緊自己嘅程式碼庫嘅時候，英國嘅人工智能安全研究所（AISI）就獨立評估緊Cisco用嗰兩款模型——結果令人好擔憂。喺2026年4月至6月期間發表嘅一連串評估報告中，AISI有以下發現 ：

• Claude Mythos Preview「喺網絡攻擊方面嘅能力，明顯比我哋之前評估過嘅任何模型都要強。」英國政府喺2026年4月，由大臣Liz Kendall同保安部長Dan Jarvis聯名，向全英國商界領袖發出一封公開信，直接引用呢個發現，呼籲董事會要將AI帶來嘅網絡風險，視為首要嘅管治責任 。Mythos Preview喺專家級嘅奪旗賽（CTF）任務中，達到咗73%嘅成功率——係AISI評估過嘅任何模型中嘅首次 。

• GPT-5.5 完成咗AISI設計嘅一次32步企業網絡攻擊模擬，AISI估計呢個任務要一個人類專家做大約20個鐘。呢個模型仲「打爆」咗AISI嗰套包含95個針對性奪旗賽任務嘅評估工具，代表基本嘅基準測試已經唔足以有意義咁量度前沿模型嘅網絡風險 。喺專家級嘅進階任務中，GPT-5.5嘅平均合格率大約係71%，而Mythos Preview就大約係69%，上一代嘅GPT-5.4就只係大約52% 。

• 整體趨勢正在加速：AISI發現，前沿AI模型自主完成網絡任務嘅能力，而家每4.7個月就翻一番，比起2025年11月記錄到嘅8個月翻一番，時間短咗好多。Claude Mythos Preview同GPT-5.5嘅表現，甚至大幅超越咗呢條已經變得好陡峭嘅趨勢線 。

每4.7個月能力就翻一番，呢個含意好赤裸。如果呢個趨勢持續，大約喺一年半之內，AI系統就可以自主完成一啲而家需要成隊專家黑客花幾個星期甚至幾個月先做到嘅網絡任務。AISI指出，兩款模型嘅更新版本，已經「打爆」咗現有嗰95個任務嘅評估工具，搞到「時間線預測充滿高度不確定性」，事關啲基準測試已經冇辦法量度到模型嘅真正實力 。

更大嘅圖景：一場防禦性軍備競賽嘅邏輯

Cisco嘅公佈，連同AISI嘅評估，描繪出一個業界面對現實、甚至積極參與緊一場由AI驅動嘅防禦性軍備競賽嘅景象。同一批前沿AI模型，既可以掃描18億行程式碼搵漏洞，理論上亦都可以俾攻擊者利用，用嚟搵同利用相同嘅漏洞，而且速度會快過任何人類紅隊。

無論係Project Glasswing定係Daybreak，背後嘅邏輯都係一樣：最好嘅防守，就係先將最強嘅模型，交俾最負責任嘅組織，喺嚴格控制下使用，等佢哋可以喺攻擊能力擴散開去之前，修補好關鍵嘅基建。Cisco今次掃描18億行程式碼，係呢個理論迄今為止最大規模嘅現實世界測試。不過，公司決定隱瞞實際搵到嘅漏洞數量，留俾業界嘅，就只有一個好吸引但唔完整嘅概念驗證——以及一個全新、由AI驅動嘅漏洞公佈時間表，暗示咗發現嘅問題數量之巨大，大到需要永久改變佢哋嘅運作模式。