🛡️ Claude Mythos:首个通过AISI全流程评测的模型
根据英国人工智能安全研究所(AISI)的最新评估,Anthropic的Claude Mythos Preview成为首个完整通过其端到端网络安全评测的模型。这一评估不仅印证了其空前强大的攻击能力,也揭示了AI在网络攻防领域的双刃剑效应。
🎯 AISI评测的核心发现
AISI的评估在三个层面证实了Mythos的突破性:
· 极限CTF挑战:在专家级夺旗(CTF)挑战中,Mythos达到了73%的成功率------这一门槛在2025年4月前没有任何模型能够触及。
· 复杂攻击模拟:在名为"The Last Ones"(TLO)的32步企业网络攻击模拟中,Mythos成为首个从始至终独立完成攻击的模型,10次尝试中成功3次。AISI估算,这一任务通常需要人类专家约20小时完成。
· 自主漏洞利用:与需要逐步引导的前代模型不同,Mythos能够自主发现并串联多个漏洞,形成完整的攻击链。
AISI特别指出,虽然测试环境比真实世界简单(缺乏实时防御响应),但结果明确显示:该模型已经能够自主攻击小型、防护薄弱的企业网络。
⚠️ 强大潜力与潜在风险
Mythos展现的能力引发了业界关于"攻防不对称"的激烈讨论:
攻击潜力
· 发现陈年漏洞:在几周内发现了OpenBSD中潜伏27年、FFmpeg中潜伏16年的漏洞,这些漏洞躲过了数百万次自动化测试。
· 自主编写利用程序:非安全专业的工程师仅需下达指令,模型即可在数小时内输出完整可用的攻击代码。
· 规模化发现:已发现数千个高危零日漏洞,覆盖所有主流操作系统与浏览器。
风险警示
· 攻击平民化:以往只有顶尖黑客能执行的复杂攻击,门槛被大幅降低。
· 防御窗口归零:漏洞从发现到被利用的时间差从"数月"压缩至"分钟"。
· SaaS模式动摇:依赖"漏洞永远存在"和"安全专家稀缺"的网络安全公司商业模式受到冲击。
🌍 全球监管与行业反应
鉴于其颠覆性能力,Mythos的发布已引发全球监管部门的高度关注:
· 多国政府介入:美国财政部长与美联储主席召集"系统重要性金融机构"开会,鼓励利用该模型自查;英国金融监管机构与央行召开紧急会议评估风险;德国BSI负责人称,中期内传统漏洞"或将不复存在"。
· 行业"玻璃翼计划"(Project Glasswing):Anthropic未公开释出该模型,而是通过该计划向AWS、微软、谷歌、苹果、英伟达等11家核心伙伴及40余家关键基础设施机构开放,用于防御性扫描,并投入1亿美元额度支持这一计划。
💎 总结
Claude Mythos通过AISI的严格评测,标志着AI从"分析威胁"进化到"自主发动攻击"的范式转变。正如安全专家所言,防御者与攻击者都已进入"机器速度"的攻防时代。留给企业加固系统、更新策略的时间窗口,正在以前所未有的速度关闭。