在一項獨立但相關的評估中,Mythos觸發了微軟歸類為「不太可能被利用」的14個Windows漏洞中的13個,並將其中一個漏洞推向完整的系統控制權 。微軟的「低可利用性」評級目前涵蓋了80%至90%即便具備嚴重等級的漏洞,這意味著安全團隊視為緊急的漏洞組合可能需要擴大約五倍
。這個評級系統是為一個由人類專家花費數週努力進行漏洞利用開發的時代所設計的,如今顯然低估了能在幾分鐘內完成相同工作的自主AI所帶來的威脅。
在Anthropic的揭露中,最令人不安的數字之一就是成本。每次成功的零日漏洞探索執行成本低於50美元。一次完整的OpenBSD掃描活動——進行數千次執行——成本約為2萬美元,並發現了多個關鍵漏洞,包括一個存在於OpenBSD TCP堆疊中長達27年的錯誤 。建構Linux核心的N-Day root權限漏洞利用程式,每個成本低於2,000美元
。Anthropic針對整個程式碼庫進行掃描的紅隊活動總成本,都遠低於2萬美元
。
Anthropic在2026年4月7日至8日首次揭露了Claude Mythos Preview,並將其描述為一個前沿模型,能夠自主地在所有主要作業系統和網頁瀏覽器中發現並利用零日漏洞,找到數千個高嚴重性錯誤,其中包括那些逃過數十年專家審查的缺陷 。鑑於極端的雙重用途風險,Anthropic並未公開發布Mythos。取而代之的是,他們創建了**「玻璃翼計畫」(Project Glasswing)**,這是一項受控的網路安全倡議,最初僅限於約50個合作組織,包括亞馬遜雲端運算服務(AWS)、蘋果(Apple)、思科(Cisco)、谷歌(Google)、微軟(Microsoft)、摩根大通(JPMorgan)和Linux基金會等
。
截至2026年6月,玻璃翼計畫正擴展至超過15個國家的大約150個組織,包括澳洲、英國以及數個歐盟和亞洲國家的國家安全機構 。合作夥伴可在調查結果公開揭露前,獲得90天的獨家修補空窗期
。到2026年5月下旬,Mythos已經在系統性重要的軟體中發現了超過一萬個高或嚴重等級的漏洞
。
產業回應: 思科加入了最初的玻璃翼計畫合作夥伴群,與其他主要科技和網路安全公司一同,為自身及開源軟體進行防禦性的漏洞探索,從而獲得Mythos的早期存取權 。Mozilla與Anthropic的內部合作早於Mythos的全面推行,而其成果——修補了271個零日漏洞——充分證明了在負責任使用下的防禦潛力
。
川普政府: 政策回應可謂一波三折。2026年4月,國家網路總監肖恩·凱恩克羅斯(Sean Cairncross)主導了與各機構的聯繫,但網路安全暨基礎設施安全局(CISA)的經費削減與內部政治鬥爭讓協調工作變得複雜 。5月21日,川普廢棄了一項計劃中的行政命令,該命令原擬要求AI實驗室在公開發布前沿模型前90天提交政府審查,他告訴記者,他不想讓任何事拖慢美國領先中國的速度
。
不到兩週後,6月3日,川普簽署了一項關於人工智慧創新與網路安全的修訂版行政命令,為新的前沿模型創建了一個自願性的30天審查框架——比被否決的90天強制要求更為寬鬆,但仍承認了維持現狀已不足以應對當前威脅 。
在此期間,包括財政部、聯邦準備理事會(Fed)及行政管理暨預算局(OMB)在內的政府機構,在四月的警告後爭相確保能取用Mythos,其中財政部還不顧川普早先指示停止使用Anthropic技術的指令,接受了緊急簡報 。
核心啟示很清楚:一個修補程式釋出後能為防守方爭取到數週喘息空間的時代已經結束了,至少在面對能取用前沿AI的對手時是如此。這種不對稱性極為懸殊——企業仍需約70天才能完成修補,而AI能在不到一小時內將相同的漏洞武器化。如今,各個組織都被迫重新思考,哪些漏洞該被視為緊急事件、如何安排修補的優先順序,以及他們的漏洞管理節奏,能否在一個漏洞利用開發已變得廉價、快速且自動化的世界裡存活下去。