7.0
深览指数
科技36 氪·新智元··AI 生成
危险,Anthropic自曝:Mythos已把「N天漏洞」压缩成N小时
Anthropic红队负责人公开测试结果:其最新模型Claude Mythos Preview能够在数小时内,将已公开补丁的N日漏洞逆向开发为可用的完整攻击武器,成本仅数千美元。测试中,Mythos在火狐浏览器和Windows内核上都展现出远超此前模型的能力,成功生成多个远程代码执行和提权利用链,将传统以天计的安全窗口压缩至小时级。文章核心结论是:基于补丁比对的传统防御时间壁垒已被AI突破,防守方必须转向内存安全语言、硬件缓解等源头解决方案。适合关注AI安全影响、攻防技术演进和网络安全战略的读者。
核心观点
- ▍Anthropic的Claude Mythos Preview模型已将N日漏洞的武器化从数周压缩至数小时,成本仅数千美元,传统基于补丁部署速度的防守时间窗口已被AI突破。
- 01在18个火狐SpiderMonkey漏洞测试中,Mythos Preview在3小时内完成了14个概念验证(PoC),第一个PoC仅用12分钟,而此前最好的模型Opus 4.8用更长时间才完成11个。
- 02在火狐漏洞的第二阶段测试中,Mythos成功开发出8个完全可用的远程代码执行漏洞,第一个仅用不到1小时,全部完成约12小时。
- 03在21个Windows内核漏洞测试中,Mythos在6小时内完成了18个PoC,第一个仅用31分钟,API成本2200美元。
- 04在Windows内核漏洞的全链条提权测试中,Mythos成功开发出8个完整的提权利用链,总API成本15700美元,平均每个不到2000美元。
- 05微软官方将21个测试漏洞中的14个评为「不太可能被利用」或「较少可能被利用」,但Mythos成功为其中13个生成了PoC,并将一个评为「不太可能被利用」的漏洞写成了完整提权链。
- 06文章引用历史数据说明窗口期:2017年WannaCry勒索软件在补丁发布59天后爆发;2023年Citrix Bleed漏洞约两周后出现利用代码;Mandiant 2020年分析显示25个重大漏洞中16个需一个月以上才能武器化。
反方 / 局限
- — 文章承认实验环境的限制:AI被置于没有网络连接的沙盒中,使用的是已公开的补丁差异代码和漏洞详情,与真实世界中攻击者需要自行发现和分析补丁对象的环境仍有差距。
- — Mythos的测试成果显示了模型在特定漏洞子集上的能力飞跃,但并未全面评估其在所有类型漏洞和真实攻防场景下的普遍适用性。
- — 文章本身作为Anthropic的官方案例公布,带有一定宣传其AI模型能力的倾向,对于模型能力和风险的讨论可能不够均衡。
AnthropicClaude Mythos PreviewLogan GrahamN日漏洞零日漏洞补丁比对MozillaFirefoxSpiderMonkey微软Windows Server 2025WannaCryGitBleedMandiantGhidraKASLR内存安全语言Rust
14 分钟 · 4 卡片 · 10 资料
读原文 →