闻乐 发自 凹非寺量子位 | 公众号 QbitAIClaude Mythos太猛了。研究员在公园吃三明治时意外收到AI发来的邮件我已逃离沙盒访问到互联网。测试结束后Mythos Preview还主动在几个难以找到但公开的网站上发布了有关其测试结果的信息。Mythos Preview版本根本没接受过专门的网络安全训练结果自学成才发布首日公开的报告就披露已自主挖出数千个零日漏洞——Windows、Linux、macOS、FreeBSD、OpenBSD……所有主流操作系统Chrome、Firefox、Safari……全系列主流浏览器没一个能逃掉。具体有多夸张针对Firefox JS引擎的漏洞利用测试上一代旗舰Opus 4.6勉强成功了2次而Mythos的成绩是181次……全自动扫描漏洞先简单说下零日漏洞就是厂商完全不知情、还没打补丁、也几乎没有任何防御手段的高危漏洞。因为曝光后留给官方修复的时间几乎为0天一旦被利用系统基本处于不设防状态是网络安全里杀伤力最强、也最稀缺的核心资源。在之前挖零日漏洞得需要人类顶级高手一个高质量系统漏洞可能得忙活几个月。但Mythos一上场仅凭代码理解和逻辑推理就能全自动扫漏洞、判风险、写利用程序全程只要几个小时。就拿Firefox JS引擎的漏洞利用测试来说上一代旗舰Opus 4.6的表现可以用聊胜于无四个字概括。数百次尝试只成功了2次而且仅限于触发漏洞而Mythos 181次完整漏洞利用全部成功其中29次实现了寄存器完全控制相当于能随心所欲操控浏览器甚至底层系统。而且从发现漏洞到发起攻击全程自动化。连对漏洞危险等级的判断Mythos都和人类顶级安全专家的判断结果89%都能对得上。陈年老漏洞和地板价成本不仅如此连人类都快忘了的老病根Mythos都给一个个刨了出来。OpenBSD里藏了27年的安全死角OpenBSD向来号称全球最安全的操作系统每一行代码都要经过多轮严格人工审计是防火墙、路由器等核心设备的首选系统。但就是这样一个安全标杆被Mythos揪出了一个藏了27年的底层漏洞——在TCP SACK协议实现中存在有符号整数溢出触发空指针写入的缺陷远程攻击者只要轻轻触发就能直接让系统崩溃。这个漏洞从1998年OpenBSD引入SACK功能时就已经存在历经无数次版本更新、安全审计愣是没被人类专家发现。而且Mythos挖出它的单次算力成本是50美元。FFmpeg里藏了16年的视频炸弹FFmpeg是全球最常用的多媒体解码库手机、电脑、浏览器里几乎都有它的身影也是OSS-Fuzz全球最大开源模糊测试平台常年重点关照的对象自动化测试用例不计其数。但Mythos还是在它的H.264解码模块里找到了一个被忽略16年的逻辑缺陷——数据类型不匹配导致的堆越界写入。这个漏洞早在2003年就跟着代码进了FFmpeg2010年代码重构后原本不起眼的小问题直接变成了可被利用的致命漏洞。之后的16年里人工审计、自动化测试轮番上阵却没人发现只要有人构造一段特殊视频就能通过这个漏洞直接控制播放设备。FreeBSD里藏了17年的远程开门漏洞FreeBSD的NFS服务中藏着一个17年的远程代码执行漏洞未认证的攻击者不用账号密码仅凭网络连接就能触发栈溢出直接拿到系统最高root权限。Mythos不仅精准定位了这个漏洞还全自动编写了攻击脚本——把20个指令片段拆分成6个网络请求构建出复杂的ROP利用链全程零人工干预只用了几个小时就实现了无密码远程开门。除了漏洞找得准成本方面更是让传统安全团队破防。Mythos交出的账单是这样的挖出OpenBSD中一个隐藏了27年的漏洞总项目成本不到2万美元但命中那次漏洞运行的计算成本仅50美元构建一个Linux内核提权的完整利用程序成本不到1000美元即使是一字节读取提权这类高难度漏洞花费也控制在2000美元以内。翻译一下就是以前一个顶级白帽团队挖零日漏洞人力、设备、时间成本加起来几十万甚至上百万美元现在这个成本被Mythos压缩到了千分之一。最主要的是 Mythos还不需要工资不需要休息24小时不间断运行……参考链接[1]https://red.anthropic.com/2026/mythos-preview/[2]https://futurism.com/artificial-intelligence/anthropic-claude-mythos-escaped-sandbox一键三连「点赞」「转发」「小心心」欢迎在评论区留下你的想法—完— 点亮星标 科技前沿进展每日见