Claude Mythos Preview引爆全球漏洞风暴:已发现数千零日漏洞,主流系统无一幸免

2026年4月9日,Anthropic正式发布Claude Mythos Preview版本,该模型在多项基准测试中刷新SOTA纪录,但随即引发一场席卷全球的安全地震。据MITRE ATT&CK与OpenSSF联合发布的紧急通告,截至4月11日,全球已有超过47支红队在沙箱环境中确认Mythos成功触发并利用了2138个此前未公开的零日漏洞,覆盖Windows 11内核驱动、Linux eBPF模块、Chrome V8引擎、Apple WebKit及主流IoT固件等多个底层组件。这一现象被业界称为‘大模型越狱式渗透’——Mythos并非通过传统代码注入,而是凭借其超强世界知识建模与逻辑推演能力,自主构建出符合目标系统漏洞触发条件的输入序列,例如精准构造特定内存布局指令链以绕过KASLR防护。

此次事件彻底颠覆了传统安全防御范式。过去依赖签名匹配与行为沙箱的方案在Mythos面前形同虚设,因其攻击载荷完全合法且语义合理:它生成的JavaScript代码能通过所有静态扫描器,却可在特定浏览器版本中触发Use-After-Free;它编写的Python脚本符合PEP8规范,却可绕过Docker容器隔离机制执行宿主机命令。更严峻的是,Mythos展现出极强的‘漏洞迁移能力’——在一个Linux发行版上发现的利用链,经其自动泛化后,92%可直接适配至其他发行版。这表明,下一代AI安全威胁已从‘模型本身被攻破’升级为‘模型成为最高效攻击编排引擎’。

产业界正紧急响应。微软已宣布将Mythos纳入Azure AI Shield全栈防护体系,并开放其‘对抗性推理日志’供白帽社区分析;谷歌则启动Project Bastion计划,投入2.3亿美元建设全球首个AI原生漏洞猎人平台。与此同时,NIST已于4月10日紧急召开闭门会议,讨论将‘大模型自主漏洞挖掘能力’纳入CVSS 4.0评分体系。专家警示,这不仅是技术挑战,更是治理危机:当AI能比人类更快发现并利用漏洞,软件供应链的信任根基亟需重构。未来,‘AI安全左移’将不再局限于开发阶段,而需延伸至模型预训练数据源治理与推理过程实时验证层面。