當 AI 成為最強駭客與最強守門員：兩大模型如何改寫 2026 年的資安職涯規則

Anthropic 於 2026 年 4 月 7 日發布了 Claude Mythos 預覽版，但由於其網路安全能力被認為過於危險，無法對公眾全面開放，僅透過名為「玻璃翼計畫」（Project Glasswing）的限制性管道，提供給特定的合作夥伴使用 。英國人工智慧安全研究所（AISI）的測試證實，當 Mythos 被賦予網路存取權限時，它能夠自主地「在易受攻擊的網路上執行多階段攻擊，並自動探索與利用漏洞」—這類工作通常需要人類專家花費數天才能完成 。

其在權威基準測試上的表現是史無前例的。Mythos 成功解決了 73% 的專家級駭客鬆（CTF）挑戰，而此前的任何模型達成率皆為 0% 。它更成為史上第一款能從頭到尾完整走完名為「最後生還者」、高達 32 個步驟的企業網路滲透模擬的 AI。它在 10 次嘗試中成功了 3 次，即便失敗的嘗試，平均也完成 32 步中的 24 步，而先前所有模型的平均完成步數都低於 16 步 。

除了競賽，Mythos 還能對閉源軟體進行逆向工程以重現漏洞，並將已知但尚未廣泛修補的漏洞轉化為可實際運用的攻擊程式碼 。在為其專門設計的 Firefox 引擎基準測試中，它更開發出了 181 個有效的攻擊程式 。這些正是為何 Anthropic 與其創始成員之一的 CrowdStrike，將其用途嚴格限制在漏洞探索與攻擊模擬等防禦領域的原因 。

GPT-5.4-Cyber：為防禦量身打造的專用工具

相隔一週，於 2026 年 4 月 14 日，OpenAI 以截然不同的路線做出回應。GPT-5.4-Cyber 是一種「網路安全寬容型」的 AI 變體，專門為防禦性資安工作進行了微調。其設計目的是為了降低對某些任務的道德拒絕界線——那些常規模型會拒絕回應的合法防禦任務 。

最關鍵的一點是，該模型可以進行二進位逆向工程，而無需取得原始碼，這讓資安專業人員可以直接分析已編譯的軟體，搜尋惡意軟體與漏洞 。對於經過審核的專業人士來說，它能合法投入惡意軟體分析、漏洞掃描以及偵測規則設計的工作 。

使用權限受到 OpenAI 的「可信網路存取」計畫嚴格把關，此計畫已擴展到數千名經過驗證的防禦者與數百個負責保護關鍵基礎設施的團隊。該模型對經批准的用戶放寬了「基於分類器的限制」，但仍保留防護機制，防止如憑證竊取等明確的惡意行為 。OpenAI 隨後在 2026 年 5 月接續推出了僅限預覽的 GPT-5.5-Cyber，暗示其在防禦者專用功能的迭代速度正在加快 。

「漏洞末日」：一場海嘯與過濾器

「漏洞末日」（Bugmageddon）一詞捕捉到了 AI 發現的漏洞如洪水般湧向資安團隊的壓倒性情勢。光是在 2026 年第一季，就有超過 15,200 個新漏洞被公開揭露，其中 40 個已確認正遭到大規模利用，比起 2025 年第四季的數量增加了 43% 。AI 驅動的探索工具被認為是這波激增的直接因素 。

這股洪流正顛覆著漏洞研究的經濟模式。各大漏洞懸賞計畫正面臨 AI 生成、品質低落且重複性高的報告海嘯，導致審查管道嚴重堵塞，甚至迫使部分組織暫時中止計畫 。

然而，這種衝擊並非均勻分布。漏洞懸賞平台 Bugcrowd 的 2026 年度預測指出，雖然 AI 擅長發現組態設定錯誤等常見漏洞，但必須具備深度業務邏輯理解才能發掘的「皇冠珠寶」攻擊路徑，依然仰賴頂尖的人類研究員——這使得這類人才比以往任何時候都更有價值 。

這如何重塑資安職涯與技能溢價？

這些模型與「漏洞末日」的疊加效應，正在對資安就業市場進行兩極化的重組。

高階與專精職位需求急劇升溫： 事件應變主管、AI 資安架構師，以及能夠操作 AI 工具的漏洞研究員，不僅身價水漲船高，而且供不應求。目前約有 10% 的資安職缺明確要求 AI 技能，超過 64% 的職位要求具備 AI、機器學習或自動化的專業能力 。

初階與例行性工作空間受壓縮： 自動化漏洞探索正在壓縮例行性漏洞搜索的市場。那些以模式化掃描為主的初階職位正在被取代，但與此同時，這些自動化工具也創造出了巨量的審查與修補管理需求，這仍需要人類的專業判斷。

新一代的技能溢價： 2026 年最有價值的專業人士，不是那種找漏洞最快的人，而是懂得操作 AI 驅動資安工具、有辦法解讀 AI 發現的漏洞，並能處理現階段自動化系統仍無法掌握的複雜審查工作的那批人才。這類橫跨 AI 流暢度與深厚資安專業的職位，年薪中位數已水漲船高。獵才需求從過往一年一次的頻率，變成如今的每月甚至每週都在出現，顯見企業對這類人才的渴求有多麼殷切。