AI新模型Claude Mythos Preview引爆网络安全攻防革命:漏洞识别能力颠覆传统防御范式

当前,人工智能正以前所未有的深度介入关键基础设施安全领域。据美国《纽约时报》4月28日报道,Anthropic公司于本月初正式发布实验性AI模型Claude Mythos Preview,该模型在零日漏洞挖掘、多层协议逆向与上下文感知型渗透路径生成方面展现出远超现有自动化工具的能力。在第十九届中国科学仪器发展年会同期举办的‘AI for Security’闭门研讨中,中科院信工所专家指出,Mythos已成功在37个主流开源项目中复现并提前12–72小时预警了9类未公开CVE漏洞,验证其并非仅依赖训练数据回溯,而是具备推理驱动的攻击面建模能力。

这一技术突破迅速引发全球监管层高度警觉。工业和信息化部等十部门于4月27日联合印发《人工智能科技伦理审查与服务办法(试行)》,首次将‘高风险AI安全工具’纳入强制伦理评估清单,明确要求对具备自主漏洞生成能力的模型实施红蓝对抗备案、输出内容水印及实时行为审计。值得注意的是,《办法》特别设立‘双轨豁免机制’:科研机构经审批可开展防御性研究,但商用部署须通过国家网络与信息安全信息通报中心的动态威胁推演认证。

产业影响已呈显性化趋势。国内头部云厂商紧急升级WAF策略引擎,引入Mythos模拟攻击流量作为训练负样本;而多家金融级渗透测试服务商则宣布暂停AI辅助审计服务,转而构建人机协同的‘三阶验证流程’——即AI初筛、资深工程师复核、沙箱环境实证。更深远的影响在于人才结构重构:网络安全岗位JD中‘AI提示工程能力’出现频次同比激增210%,CISP-AI认证报考人数在4月单月突破1.8万人。

展望未来,行业共识正从‘能否防御’转向‘如何共生’。清华大学人工智能治理研究中心提出‘可控攻击力指数(CAI)’评估框架,建议将模型漏洞发现速率、误报率、可解释性三项指标加权纳入AI安全产品准入标准。随着5月起首批符合《办法》的商用AI安全平台进入工信部试点名录,一个兼顾技术创新张力与风险管控刚性的新生态正在形成——AI不再只是网络安全的‘挑战者’,更将成为构建韧性数字底座的核心‘免疫细胞’。