Cloudflare 在 50 多個內部及開源程式庫測試 Claude Mythos Preview,發現模型可以把多個低嚴重度漏洞串成真正可行的 exploit chain,並自動生成 PoC 攻擊程式。[6][13] 與一般只會報漏洞的掃描工具不同,Mythos 能分析漏洞之間的關聯,並在測試環境反覆編譯與執行 exploit 代碼來驗證攻擊是否可行。[9][17] 研究同時發現模型仍有 false positives 及安全拒絕行為不一致等問題,亦突顯 AI 在網絡安全領域的「雙用途」風險。[9][17]

Create a landscape editorial hero image for this Studio Global article: What did Cloudflare find when testing Anthropic’s Claude Mythos Preview on more than 50 internal and open-source code repositories, specific. Article summary: Cloudflare tested Mythos Preview as part of Project Glasswing against more than 50 of its own internal and open-source code repositories.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Claude Mythos: Benchmark-Dominating AI with Real Risks. Claude Mythos Preview is Anthropic’s most powerful AI yet, outperforming benchmarks and uncovering critical vulnerabilitie" source context "Claude Mythos: Benchmark-Dominating AI with Real Risks" Reference image 2: visual subject "Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called **Project Gla
Cloudflare 最近測試了 Anthropic 的 Claude Mythos Preview——一個專門為網絡安全研究而設計的 AI 模型。測試在 超過 50 個內部與開源程式庫上進行,並屬於 Anthropic 限定合作計劃 Project Glasswing 的一部分。結果顯示,這個模型不只會找漏洞,還能把多個漏洞串連成可行的攻擊鏈,甚至自動生成 exploit 的 proof‑of‑concept(PoC)程式碼。同時,研究人員亦發現它在可靠性與安全控制方面仍存在明顯限制。
傳統自動化安全工具通常只會識別單一漏洞。但 Cloudflare 指出,Mythos 的能力更進一步。
在分析真實程式碼時,模型可以:
換句話說,Mythos 不只是把漏洞逐個列出,而是會像攻擊者一樣思考:如何把不同漏洞連接起來形成實際攻擊。
Cloudflare 表示,這種能力在多個系統範圍都出現,包括其 runtime 系統、協議程式碼、控制平面組件,以及一些開源專案。
而在傳統安全研究中,這種「把漏洞串成完整攻擊流程」的分析,通常需要經驗豐富的安全研究員才能做到。
另一個引人注目的發現,是 Mythos 能夠自動生成 exploit 的 proof‑of‑concept 程式碼。
Cloudflare 觀察到模型可以:
這種「寫代碼 → 測試 → 修正 → 再試」的迭代流程,使模型可以由漏洞發現直接進展到實際驗證漏洞是否能被利用,而且幾乎不需要人手介入。
對安全團隊而言,PoC exploit 往往是確認漏洞是否真正危險的關鍵一步。如果這一步能被 AI 自動完成,漏洞驗證與優先排序的效率可能大幅提升。
Anthropic 在 Mythos Preview 的技術說明中亦提到,模型在內部測試中顯示出更廣泛的能力,例如:
這些能力顯示 Mythos 的重點不是一般程式生成,而是結構化漏洞分析與攻擊推理。
雖然能力強,但 Cloudflare 測試亦指出一些明顯問題。
模型有時會報告 實際上不可利用的漏洞,或者對漏洞嚴重性作出錯誤判斷。
特別是在 C 或 C++ 等記憶體不安全語言的專案中,誤報情況較多,因此仍然需要人類專家進行驗證。
研究人員亦觀察到模型的安全限制(refusal)行為並不一致。
有時候模型會:
這顯示要在 安全研究用途與防止濫用之間取得平衡,在 AI 系統設計上仍然相當困難。
這次實驗反映出 AI 正在改變漏洞研究的模式。
對防守方而言,像 Mythos 這類系統可以:
但同一時間,如果這類能力落入攻擊者手中,風險同樣巨大。當 AI 可以由發現 bug 自動走到生成 exploit 程式碼,發動高級網絡攻擊的門檻可能大幅降低。
Cloudflare 因此認為,在 AI 加速的安全環境下,單純加快打補丁速度未必足夠。企業可能需要重新設計漏洞管理與安全架構,以應對 AI 能快速發現並串連漏洞的情況。
Claude Mythos Preview 正好展示了典型的 dual‑use(雙用途)技術困境:
正因如此,Mythos Preview 目前並未公開發布,只透過 Project Glasswing 向少數機構提供,用於防禦性安全研究。
Cloudflare 的測試顯示,AI 正逐步由「寫程式助手」進化到能完成整個漏洞發現與 exploit 推理流程的系統。這種能力未來可能同時重塑網絡防禦與網絡攻擊的格局。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Cloudflare 在 50 多個內部及開源程式庫測試 Claude Mythos Preview,發現模型可以把多個低嚴重度漏洞串成真正可行的 exploit chain,並自動生成 PoC 攻擊程式。[6][13]
Cloudflare 在 50 多個內部及開源程式庫測試 Claude Mythos Preview,發現模型可以把多個低嚴重度漏洞串成真正可行的 exploit chain,並自動生成 PoC 攻擊程式。[6][13] 與一般只會報漏洞的掃描工具不同,Mythos 能分析漏洞之間的關聯,並在測試環境反覆編譯與執行 exploit 代碼來驗證攻擊是否可行。[9][17]
研究同時發現模型仍有 false positives 及安全拒絕行為不一致等問題,亦突顯 AI 在網絡安全領域的「雙用途」風險。[9][17]