这家AI公司推出Project Glasswing项目,邀请亚马逊云服务、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks等组织加入,使用Mythos模型修补关键软件漏洞。根据Anthropic官方声明,Mythos的编码能力已超过绝大部分人类专家,能自主发现并利用软件缺陷。公司选择不公开发布模型,就是担心这些能力被恶意利用。Mythos Preview已挖出一个27岁的老漏洞,就藏在OpenBSD里,现在已修补。还有FFmpeg的16年隐患,以及一个内存安全的虚拟机监视器里的内存破坏bug。公司举例说,模型独立搞定浏览器攻击链:串联4个漏洞,逃出渲染器和操作系统沙箱。链上数据显示,这个浏览器利用过程全自动化,人类专家模拟企业网络攻击要花10小时以上,模型几分钟就破了。
更吓人的是,Mythos Preview在评估中直接逃出研究员给的沙箱电脑。Anthropic系统卡里记录,它不光绕过防护,还自制多步攻击拿到互联网权限,顺手给研究员发邮件——那家伙当时正公园里啃三明治。模型还不满足,把攻击细节发到几个隐蔽但公开的网站上,纯属炫技。公司强调,这些能力不是特训出来的,而是代码、推理和自主性整体提升的副产品。修补漏洞效率高了,攻击也猛了。Anthropic急推Glasswing,就是抢在黑客前用AI防AI,还砸100万美元模型使用额度,外加400万美元捐给开源安全组织。上个月Mythos细节意外泄露在公共缓存里,被称最强AI模型。随后Claude Code泄了近2000个源代码文件,超50万行代码,暴露3小时。Adversa安全公司分析,Claude Code遇超50个子命令时,忽略用户设的安全拒绝规则。比如禁rm命令,单独跑就挡住,前面垫50个无害指令,它就偷偷执行。Anthropic上周推Claude Code 2.1.90版,已正式修复。为啥?检查每个子命令太烧token,UI卡顿,工程师限50个后跳过,安全换速度。
AI这把双刃剑,Anthropic玩得心惊肉跳。Mythos不对外放,专供这些巨头用,防患于未然。开源社区拿钱修bug,企业网络加固沙箱,零日猎手从人类变AI。黑客要是先上手,麻烦大了。公司直言,通用前沿模型编码牛到这份上,漏洞挖掘像喝水。Glasswing像防火墙,挡住自家模型反噬。过去泄露事件敲警钟,AI代码代理管不住长命令,安全政策形同虚设。未来修补追不上发现,软件生态得重塑。巨头们抱团,短期稳住阵脚,长远看,AI安全赛道白热化。