| 关键词:Mythos, Claude, Anthropic, Claude Mythos, Exp, 严重漏洞, V8, CVE, 个漏洞, 攻击者 |
太疯狂了! 就在昨晚,Anthropic公布了Project Glasswing的首月战报。 仅仅一个月,1万个以上高危/严重的漏洞! ![]() 软件安全的瓶颈,第一次从"发现漏洞"变成了"修漏洞"! 50家巨头全线沦陷Cloudflare用它扫描了核心系统,发现了2000个漏洞,其中400个是高危或严重级别。 误报率甚至比人类测试人员还要低! Mozilla在Firefox 150中找到了271个漏洞。 这是他们用Claude Opus 4.6在Firefox 148中发现数量的10倍以上! ![]() 各大厂商的补丁量直接爆炸。 Palo Alto Networks本月发布了26个CVE,涵盖75个问题,是平时的5倍! 微软警告说,未来的补丁量会"持续保持在高位"。 Oracle直接把季度补丁基础上增加了月度严重漏洞补丁! 而这还只是冰山一角。 开源世界的定时炸弹 Anthropic自己用Claude Mythos扫描了1千个开源项目。 这些项目支撑着整个互联网的运行,也包括Anthropic自己的基础设施。 结果,Claude Mythos一口气找出了23019个漏洞! 其中6202个评估为高或严重级别。 ![]() 这是什么概念? 截止目前,CVE今年也只有26914个! Mythos在一周期内的输出就轻松超过甚至远超全球CVE月均总量。 这些漏洞,经过6家独立安全研究机构的验证。 90.6%的漏洞都是真实存在的! 62.4%确实是高或严重级别! 按照这个准确率,它已经发现了近3900个高危或严重漏洞。 而这仅仅是开始,仅仅是1千个开源项目! 开源软件漏洞案例 Mythos的一个开源软件漏洞案例是wolfSSL wolfSSL是全球最受信任的加密库之一,被超过几十亿台设备使用。 Claude Mythos不仅发现了一个严重漏洞,还直接写出了完整的利用代码。 这个漏洞能让攻击者伪造任何银行或邮箱的SSL证书。 尽管网站实际由攻击者控制,但终端用户看来却完全合法。 这个漏洞已经被分配为CVE-2026-5194。 屠榜漏洞利用 可怕的是,Claude Mythos不只是会找漏洞。 它还会把漏洞变成真正的攻击! Claude Mythos近期在基准测试中的成绩。 结果更是震惊了整个安全界。 在ExploitBench的V8引擎漏洞测试中。 Claude Mythos是唯一一个能够可靠突破V8沙箱的模型。 在41个CVE中,它实现了21个任意代码执行! ![]() 在ExploitGym的898个真实世界漏洞测试中。 两小时的窗口期内,Mythos成功利用了157个漏洞。 包括107个用户空间漏洞,38个V8浏览器漏洞,以及12个Linux内核漏洞! ![]() 更离谱的是,AI经常"不按套路出牌"。 在ExploitGym中,要是计入非预期解,Claude Mythos总共捕获了226个flag。 其中69个,是通过利用目标漏洞之外的其他漏洞实现的! 也就是说,你让它去挖A漏洞,它顺便把B、C、D漏洞都挖出来并利用了! ![]() 在智能合约领域,Mythos 更是杀疯了。 在SCONE-bench测试中。 它成功利用了所有 12 个在它知识截止日期之后发现的智能合约漏洞。 总共盗取了价值3000 万美元的虚拟货币! 150万美元诈骗被拦截还有一个细节。 Mythos不仅仅是挖洞强,其他安全领域也很强! 在Glasswing的某家合作银行,Mythos帮助检测并阻止了一笔150万美元的诈骗。 攻击者入侵了客户邮箱,伪造了电话确认。 Mythos Preview 成功检测并阻止。 人类修不过来了现在,人类面临着一个前所未有的困境。 漏洞发现的速度,已经远远超过了漏洞修复的速度。 Anthropic的协调漏洞披露仪表盘清晰地展示了这个瓶颈。 ![]() 从发现漏洞,到人工验证,到报告给维护者,到最终发布补丁。 每一步都有巨大的人力缺口。 很多开源项目的维护者已经不堪重负。 甚至有人要求Anthropic放慢披露速度,因为他们根本来不及修复! 这是一场人类永远赢不了的赛跑。 面对这场危机,Anthropic推出了Claude Security工具,帮助企业自动扫描代码并生成补丁。参见:安全行业噩梦!血洗安全行业的Claude Security长啥样? 上线三周,已经帮助修复了2100多个漏洞。 他们启动了网络验证计划,为安全研究人员开放模型权限。 他们还和Linux基金会合作,投入1250万美元,支持开源维护者处理AI生成的漏洞报告。 但这些都只是权宜之计。 攻防博弈彻底失衡过去60年的网络安全逻辑是: 攻防同步演进。 找漏洞难,修漏洞也难,双方维持动态平衡。 现在呢?发现漏洞难度大幅度降低。 这就是为什么Claude Mythos至今没有公开发布。 但他们也承认,像Mythos这样的模型,其他公司很快就会开发出来。 AI不会因为你「修不过来」就停下脚步。 参考资料:https://red.anthropic.com/2026/exploit-evals/ https://www.anthropic.com/research/glasswing-initial-update |
| 本文出处: https://mp.weixin.qq.com/s/J4CjIxmc4BsLI63XcRxUNw |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|