Mythos 遭未授权接入,Anthropic 最强模型「破防」了

行业快讯

Anthropic 旗下具备顶级漏洞挖掘能力的 Mythos 模型疑遭未授权用户接入,这个本应只对少数核心企业开放的「网络安全核武器」,自身安全却先出了问题,讽刺意味拉满。

给别人找漏洞的模型,自己先被人摸进去了

就在 Anthropic 的 Mythos 模型让全球安全圈集体失眠的当口,一件颇具黑色幽默的事情发生了——这个号称能在几乎所有操作系统和浏览器中挖出零日漏洞的超级模型,自己遭到了未授权用户的接入。

消息最早在开发者社区 Linux.do 上炸开。有用户发帖称若干未经授权的人成功接入了 Anthropic 的 Mythos 模型,帖子标题直截了当:「这是哪位佬干的,主动站出来交代了吧!」语气半调侃半震惊,评论区迅速涌入大量讨论。

要理解这件事为什么值得单独拿出来说,得先搞清楚 Mythos 到底是什么级别的东西。

Mythos 不是普通模型,它是「网络安全核武器」

过去两周,Mythos 是全球科技圈最热的名字,没有之一。

这不是又一个刷榜的聊天机器人。Anthropic 在今年 4 月初发布 Mythos 预览版时,给出的定位非常明确:这是一个专门面向网络安全领域的前沿模型,具备在几乎所有主流操作系统、浏览器和软件产品中自主发现漏洞、生成攻击利用代码的能力。

几个关键数据可以帮你建立直觉:

  • Mozilla 官方确认,Mythos 在 Firefox 150 中发现了 271 个零日漏洞,Mozilla CTO 评价其能力「与世界顶级安全研究员完全相当」
  • Anthropic 称该模型已在各类系统中发现了数千个零日漏洞,其中一些漏洞已经存在长达 27 年
  • 云安全公司 Edera 的 CTO Alex Zenla 指出,Mythos 在「漏洞利用链」构建方面的能力是真正的转折点——它能把多个单独的漏洞串联成完整的攻击路径,这在过去是只有极少数顶尖黑客团队才能做到的事

Mythos 模型能力示意图,展示其在漏洞发现、利用链构建、攻击代码生成方面的完整闭环能力

打个比方:以前的 AI 安全工具像是一个能帮你检查门锁有没有坏的助手,而 Mythos 更像是一个能自己配钥匙、找到你家所有暗门、还能画出完整入侵路线图的专家。区别不是量级上的,是质变。

正因为能力太强,Anthropic 对 Mythos 的访问控制极其严格。模型目前仅通过其「Project Glasswing」计划向少数核心企业和机构开放,名单上是清一色的巨头:亚马逊、苹果、Google、微软、思科、摩根大通,以及 Linux 基金会。

用 Anthropic 联合创始人 Jack Clark 的话说:「目的是协助这些机构主动发现并修补系统漏洞。」

换句话说,这是一个被严格锁在保险柜里的东西。而现在,有人不知道怎么把保险柜撬开了。

到底发生了什么?

目前公开信息有限,但从社区讨论和多方报道中可以拼出一个大致轮廓。

事件的核心事实是:若干未经授权的用户成功接入了 Mythos 模型。这不是 Anthropic 主动扩大开放范围,而是在其访问控制体系之外发生的未授权访问。

至于具体的入侵路径,目前没有官方定论。社区中的猜测主要集中在几个方向:

  1. API 密钥泄露:Glasswing 计划参与企业的某个员工或系统泄露了访问凭证
  2. 接口暴露:模型服务端点在某个环节被发现并直接访问
  3. 供应链问题:通过 Anthropic 或其合作伙伴的基础设施间接获得访问权限

值得注意的是,这并非 Anthropic 近期遇到的唯一安全事件。有报道提到 Claude Code 源代码疑遭泄漏,被称为「AI 业界最严重安全事件之一」。虽然这两件事是否有关联尚不清楚,但它们叠加在一起,确实让人对 Anthropic 的整体安全管控能力打上了问号。

讽刺的不只是「被黑」,而是时机

这件事最让人五味杂陈的地方在于时机。

就在过去两周,围绕 Mythos 的叙事一直是「它太强了,所以必须严格管控」。Anthropic 花了大量精力向外界传递一个信息:我们知道这个模型有多危险,所以我们在负责任地处理它。

来看看这段时间都发生了什么:

  • 美国白宫:幕僚长 Susie Wiles 与 Anthropic CEO Dario Amodei 直接会谈,讨论 Mythos 对国家安全的影响
  • 美国财政部和美联储:财长 Scott Bessent 和美联储主席 Jerome Powell 召集系统重要性金融机构开会,讨论 Mythos 类模型的网络安全影响
  • 英国:金融监管机构与国家网络安全中心紧急会商,评估风险
  • 德国:联邦信息安全办公室负责人 Claudia Plattner 表示,Mythos 意味着「中期内传统软件漏洞可能彻底不复存在」
  • 欧盟委员会:已与 Anthropic 接触,讨论尚未在欧洲发布的进阶版本
  • 美国战争部长 Pete Hegseth 甚至将 Anthropic 列为「供应链风险」,Anthropic 已就此提起两起联邦诉讼

全球主要经济体的政府都在为这个模型的能力感到紧张,结果模型自己的访问控制先出了问题。这就好比一家卖防盗门的公司,在向客户演示产品有多结实的时候,自己的展厅被人翻窗进去了。

这件事暴露了什么?

抛开段子不谈,这个事件至少暴露了三个值得认真讨论的问题。

1. 模型访问控制的难度被严重低估了

Mythos 的分发模式是通过 Glasswing 计划定向开放。但「定向开放」在实际操作中意味着什么?意味着你要把一个极其敏感的能力,通过 API 或某种接口交到几十家企业手中,而每家企业内部都有成百上千的工程师可能接触到访问凭证。

这不是一个新问题。任何做过 API 密钥管理的开发者都知道,密钥泄露几乎是必然事件,区别只在于早晚。GitHub 上每天都有人不小心把密钥提交到公开仓库。但当泄露的不是一个普通 SaaS 服务的 API Key,而是一个能自动挖掘零日漏洞的超级模型的访问权限时,后果的量级完全不同。

Anthropic 的前沿红队负责人 Logan Graham 此前在接受 WIRED 采访时说过一句话:「让 Mythos 尽快进入防御者手中,以争取先发优势至关重要。」

问题是,当你加速分发的时候,安全边界也在同步扩大。速度和安全之间的张力,在这次事件中暴露无遗。

2. 「负责任发布」的叙事遭遇现实检验

Anthropic 一直以「AI 安全」作为公司的核心叙事。从成立之初,它就把自己定位为那个「负责任的 AI 公司」,与 OpenAI 的激进路线形成对比。Mythos 的限制性发布本身就是这个叙事的一部分——我们不是不发布,而是只给可信赖的合作伙伴。

但安全不是一种姿态,而是一种结果。当未授权用户成功接入模型时,不管你的发布策略写得多漂亮,事实就是访问控制失败了。

这对整个行业的「负责任 AI」讨论都是一个警示。我们花了大量时间讨论模型应不应该发布、发布给谁、怎么发布,但对「发布之后怎么确保访问控制持续有效」这个问题,投入的注意力远远不够。

3. 前沿模型的安全性正在成为国家级议题

这件事发生的大背景是:Mythos 已经不是一个单纯的商业产品,它是一个被多国政府视为具有国家安全意义的能力。

英国 AI 安全研究所评估认为该模型「较过往系统明显进步,并具备利用安全防护较弱系统的能力」。Jack Clark 警告说,未来一年到一年半内,中国也可能出现具备相同能力的开源模型。

在这个语境下,Mythos 的未授权访问就不仅仅是一个企业安全事件了。如果接入者能够利用模型的漏洞挖掘能力对外部系统发起攻击,或者将模型的能力特征逆向分析用于训练竞品,那影响范围会远超 Anthropic 一家公司。

前美国网络安全与基础设施安全局(CISA)局长 Jen Easterly 此前撰文指出,Glasswing 计划有望开启「AI 帮助我们从无休止打补丁的循环,转向从一开始就构建更安全技术」的新时代。

但前提是,这个 AI 本身得先是安全的。

社区反应:调侃之下是真实的焦虑

Linux.do 上的讨论帖虽然语气轻松,但底下的焦虑是真实的。开发者们关心的核心问题是:

  • 接入者是否实际使用了 Mythos 的漏洞挖掘能力?
  • 如果使用了,挖出的漏洞信息是否已经外流?
  • Anthropic 是否已经完成事件溯源并封堵了访问路径?
  • Glasswing 计划的其他参与企业是否受到影响?

这些问题目前都没有明确答案。Anthropic 尚未就此事件发布正式声明,这本身也在加剧社区的不安。

对于安全从业者来说,这件事还有一层更深的含义。资深安全工程师 Niels Provos 此前评价 Mythos 时说过:「它不会改变问题的本质,但会显著降低发现和利用漏洞所需的技术门槛。」

现在的问题是:如果连 Mythos 的访问控制都能被突破,那当类似能力的模型在未来一两年内变得更加普及时,我们准备好了吗?

更大的图景:AI 安全的「鞋匠悖论」

这件事让我想到一个老话:鞋匠的孩子没鞋穿。

AI 安全领域正在出现一个结构性矛盾:模型的能力越强,它能帮别人解决的安全问题越多,但围绕模型本身的安全管控也越复杂。Mythos 能在 Firefox 里找到 271 个零日漏洞,但谁来找 Mythos 自身部署架构中的漏洞?

思科总裁 Jetu Patel 在 HumanX AI 会议上说得很对:「从长远来看,你必须确保防御能力达到机器速度,因为攻击已经是机器速度了。」

但他可能没想到,这句话这么快就被用来形容 Anthropic 自己的处境。

Edera 的 Zenla 用了一个很精准的比喻:Mythos 是通往安全领域「无限猴子定理」的又一步——如果你有一百万个漏洞研究员,他们能发现大量 bug。问题是,当这一百万个「研究员」的访问权限管理出了问题,你面对的就不是一百万个帮你找 bug 的人,而是一百万个潜在的攻击者。

接下来会怎样?

短期来看,Anthropic 需要尽快完成几件事:

  • 公开事件调查结果,明确未授权访问的路径和范围
  • 评估是否有敏感漏洞信息通过未授权访问外流
  • 加固 Glasswing 计划的访问控制机制
  • 与受影响的合作伙伴进行沟通和协调

中长期来看,这件事可能会推动行业对前沿模型访问控制标准的讨论。当模型的能力达到国家安全级别时,传统的 API Key + 访问白名单的管控方式显然不够用了。我们可能需要类似军事级别的访问控制协议——多因素认证、使用审计、行为监控、甚至物理隔离。

Jack Clark 说过,Mythos 并非孤例,未来数月内其他公司也将推出具备类似能力的系统。这意味着 Anthropic 今天踩的坑,明天 OpenAI、Google、甚至开源社区都可能再踩一遍。

这次事件是一个信号:在前沿 AI 能力的竞赛中,「怎么管好它」和「怎么让它更强」同样重要,甚至更重要。

对于开发者来说,如果你在日常工作中需要调用 Claude、GPT、Gemini、DeepSeek 等主流模型的 API,可以关注 OpenAI Hub(openai-hub.com)这类聚合平台,一个 Key 统一调用,省去多平台管理的麻烦。不过这次 Mythos 事件也提醒我们:API Key 的安全管理永远是第一优先级。

参考来源