Claude Mythos 网络安全模型：Anthropic给黑客「开绿灯」的争议实验

Anthropic最近搞了个大新闻——发布了一款叫Mythos的模型，专门用来挖安全漏洞。这事儿一出，业界炸了锅。有人说这是「给AI开了黑客权限」，也有人说是「安全研究的进步」。

说实话，我第一反应是困惑。让AI帮找漏洞，这到底是好事还是坏事？

先看Anthropic的官方说法。Mythos是一个「受限访问」模型，目前只向英伟达、摩根大通、谷歌、苹果、微软等特定合作伙伴开放。它的设计目标是帮安全研究人员自动化漏洞挖掘，尤其是那种需要大量时间和耐心的重复性分析工作。

技术上，Mythos有几个特点。第一，它经过了专门的网络安全微调，能理解常见的漏洞模式——从SQL注入到缓冲区溢出，从权限绕过 to 逻辑缺陷。第二，它有「防护机制」——据说会拒绝生成直接的攻击代码，但可以提供漏洞分析和修复建议。

这事儿挺有意思的。OpenAI的反应很微妙——他们一边在内部备忘录里批评Anthropic「贩卖恐惧」，一边自己也发布了GPT-5.4 Cyber，一款同样面向网络安全的模型。前浪和后浪的针锋相对，从来没这么明显过。

我个人的感受是，Mythos的出现代表了AI安全领域的一个转折点。以前，AI在安全领域的应用主要是「防御」——检测异常、分析日志、自动生成补丁。现在，AI开始涉足「进攻」——主动寻找弱点、模拟攻击路径。这个转变意味着什么？

支持者认为，这能极大提升安全研究的效率。以前一个漏洞可能需要人工审计几周，现在AI几小时就能定位可疑代码。反对者担心，这降低了漏洞挖掘的门槛，恶意攻击者可能利用类似技术发现未公开漏洞。

还有一个细节值得关注。Anthropic同时推出了「Cyber Verification Program」，允许安全研究人员在特定条件下使用Mythos开展研究。这种「开放但受控」的策略，试图在创新和安全之间找平衡。

最后想抛个问题：你觉得AI应该被允许用于「攻击性」安全研究吗？我的观点是——技术本身是中性的，关键看使用者和监管框架。如果Anthropic能把访问控制做好，Mythos可能真的能帮助提升整体网络安全水平。但如果控制不严，这事儿可能会反噬。