AI安全审计新范式：解析Claude Mythos与GPT-5.4-Cyber的零日漏洞发现能力

近期，AI领域两大巨头在网络安全攻防战场接连亮出关键成果，将人工智能应用于代码审计与漏洞挖掘的技术竞赛推向新高潮。

Anthropic亮剑：Claude Mythos Preview 的发现能力

4月7日，Anthropic发布公告，正式推出名为Claude Mythos Preview的专用模型，其核心功能是自动化查找软件漏洞。其成果并非概念演示，而是实打实地发现了数千个零日漏洞，覆盖范围包括操作系统、浏览器及各类基础软件。

更引人注目的是，该模型甚至挖掘出一个存在于OpenBSD中长达27年的旧漏洞。OpenBSD在开发者社区中以极高的安全性著称，常被用于防火墙和关键基础设施，其代码库历经无数安全专家和自动化工具的反复审计。然而，Mythos仍从中发现了一个可导致远程系统崩溃的安全缺陷。

Mythos的突破性在于其工作模式。传统的安全审计依赖“人工+自动化工具”组合，前者成本高昂、效率有限，后者则在处理复杂逻辑漏洞时力有不逮。Mythos则展现出真正的代码理解与推理能力，能够像人类研究员一样思考“此处是否存在问题”。

Anthropic披露的几个典型案例颇具冲击力：

1. 27年OpenBSD漏洞：攻击者仅需建立连接即可触发系统崩溃，该漏洞在历经无数审查后仍被Mythos识别。
2. 16年FFmpeg漏洞：FFmpeg作为广泛使用的视频处理库，其代码中某个漏洞曾被自动化工具扫描超过500万次而未检出，最终被Mythos发现。
3. Linux内核攻击链：Mythos独立发现了Linux内核中的多个漏洞，并将它们串联成完整的攻击链，实现了从普通用户权限到完全控制系统的提权路径。

Anthropic强调，上述漏洞发现与攻击链构建过程大部分由模型自主完成，人工干预极少。这标志着一个临界点的到来：AI模型在漏洞发现与利用方面的能力，已开始超越绝大多数人类安全专家。

OpenAI回应：GPT-5.4-Cyber 的防御策略

面对Anthropic的攻势，OpenAI迅速做出反应。4月14日，OpenAI宣布推出专为网络安全领域优化的模型——GPT-5.4-Cyber。

双方策略各有侧重。Anthropic采用了“尖端模型+精英联盟”的模式，联合AWS、Apple、Google、Microsoft、NVIDIA、Cisco、CrowdStrike等12家科技巨头，发起了名为“Project Glasswing”的联合项目，并承诺投入1亿美元为参与者提供免费额度。

OpenAI则选择了“专用模型+广泛赋能防御者”的路径。他们扩展了“Trusted Access for Cyber”项目，计划将GPT-5.4-Cyber的访问权限开放给数千名经过验证的个人安全研究员和数百个安全团队，覆盖从独立研究者到大型企业的广泛防御力量。

据描述，GPT-5.4-Cyber是经过专门微调的版本，旨在降低对常规安全/渗透/逆向工作的“拒绝率”。其关键能力包括支持二进制逆向工程，即无需源代码即可分析编译后的程序，用于漏洞挖掘或恶意软件分析。

简而言之，Anthropic的Mythos如同给特种部队配发的精密武器，而OpenAI的GPT-5.4-Cyber则更像是为整条防线配备的制式装备，两者目标一致：让AI成为防御者的力量倍增器。

技术临界点与行业联盟背后的逻辑

两大巨头几乎同时在此领域加码，根本原因在于紧迫感。Anthropic在公告中直言，AI模型的代码能力已达到一个临界点，在发现与利用软件漏洞方面，其能力已超越除顶尖人类专家外的所有人。

这意味着，过去仅由国家级攻击团队或顶级安全公司掌握的复杂漏洞挖掘能力，正变得日益“平民化”。若当前的Mythos能揪出27年前的漏洞，那么未来更强大的模型又将如何？这是一个正在发生的现实。

更严峻的挑战在于，这种能力是一把双刃剑，攻击者同样可以获取并利用。因此，Anthropic和OpenAI的核心行动逻辑均是：抢在攻击者大规模武装AI之前，率先让防御方建立起AI优势。这是一场关乎主动权的军备竞赛。

Project Glasswing的联盟名单揭示了各行业巨头的共同忧虑。从云计算、操作系统霸主（AWS、Apple、Google、Microsoft），到AI算力基石（NVIDIA），再到传统网络安全巨头（Cisco、Palo Alto Networks）和金融代表（JPMorganChase），它们都意识到，面对颠覆性的AI安全威胁，没有公司能独善其身。

Cisco的CIO指出，AI能力已跨越根本性门槛，彻底改变了保护关键基础设施的紧迫性。Microsoft的网络安全负责人也警告，漏洞从被发现到被利用的窗口期正在崩塌，从过去的数月缩短至如今的几分钟。

启示：个人与开发者的应对

这场由AI驱动的深层安全变革，与每个数字世界的参与者都息息相关。我们日常使用的软硬件、依赖的网络服务，其底层代码中的潜在漏洞，可能正在被某个AI系统持续扫描。

当前，积极的信号是，以Anthropic和OpenAI为代表的“防御方”似乎正取得先发优势。但技术优势并非永恒。正如Anthropic所言，解决这些系统性的网络安全问题，需要前沿AI开发者、软件公司、安全研究员、开源维护者乃至政府部门的共同协作。

对于普通用户和开发者而言，保持软件和系统的及时更新、摒弃使用已停止维护的旧系统，是构筑基础安全防线的重要一步。在这场AI深度参与的攻防战中，最大的风险或许并非某个未知的零日漏洞，而是我们对于安全风险的侥幸心理。

从4月7日到4月14日，短短一周内，AI安全攻防的格局因两款专用模型而显着改变。Claude Mythos这把“利剑”与GPT-5.4-Cyber这面“坚盾”相继亮相，标志着一个新时代的开启：AI正从安全领域的辅助工具，演变为核心的攻防参与者。这不仅是技术的演进，更是对整个数字社会安全基石的重新审视与构建。欲了解更多前沿技术动态与实践讨论，欢迎访问云栈社区。