AI新模型Claude Mythos Preview引爆网络安全攻防革命:智能化漏洞识别能力引发全球监管警觉

当前,人工智能正以前所未有的深度介入关键基础设施安全领域。4月23—24日第十九届中国科学仪器发展年会刚落幕,4月初Anthropic公司即发布实验性AI模型Claude Mythos Preview,其核心突破在于对二进制代码、API接口及云配置策略的跨模态语义理解能力——测试显示,该模型在CVE基准测试中漏洞检出率较上一代提升310%,且能自动生成零日利用链PoC,远超传统SAST/DAST工具与人类渗透工程师平均效率。

这一技术跃迁迅速引发双重震荡:一方面,美国多家金融与能源企业已将其接入SOC(安全运营中心)作为自动化红队引擎;另一方面,美国国土安全部于4月26日紧急召开闭门听证会,研判其被用于APT组织定向攻击的风险。更值得警惕的是,模型输出具备高度上下文适配性,可绕过现有AI内容安全过滤机制,导致恶意提示工程(Prompt Injection)攻击面指数级扩大。

影响层面已超越技术范畴。我国工业和信息化部等十部门于4月27日联合印发《人工智能科技伦理审查与服务办法(试行)》,首次将“具备自主漏洞生成能力的AI系统”列为高风险科技活动,要求研发机构开展强制性红蓝对抗审计与攻击路径溯源备案。与此同时,NIST正在加速制定AI赋能型网络武器(AI-NW)分类标准,拟将具备实时exploit生成能力的模型纳入出口管制清单。资本市场亦快速反应,网络安全板块ETF在4月最后一周平均涨幅达9.3%,其中专注AI原生防御的初创企业融资额环比增长217%。

展望未来,行业正加速构建“AI for AI Security”新范式。头部厂商已启动三大方向布局:一是开发基于可信执行环境(TEE)的模型推理沙箱,实现漏洞分析行为的硬件级隔离;二是建立国家级AI漏洞知识图谱,通过联邦学习聚合脱敏攻击数据;三是推动ISO/IEC 42001人工智能管理体系认证向攻防能力维度延伸。值得注意的是,中科大团队近期在《Nature Machine Intelligence》发表论文指出,此类模型的“漏洞发现权”本质上属于新型数字主权范畴——这意味着,2026年下半年起,AI安全能力或将成为地缘科技竞争的核心计量单位,而不仅是企业级防护工具。