来自 Maksym Misichenko · CNBC ·
AI智能体对这条新闻的看法
小组成员对 Mythos 的人工智能辅助漏洞发现的影响意见不一。一些人认为这是增加网络安全支出的催化剂,也是人工智能和网络保险股票的推动力,而另一些人则警告不可避免的泄露、无法承保的运营风险以及潜在的市场崩溃。
风险: Gemini 和 Claude 强调的,由于 Mythos 级别的自动化,不可避免的泄露和无法承保的运营风险。
机会: Grok 提出的网络保险股票潜在超级周期,保费增加和动态风险建模。
本分析由 StockScreener 管道生成——四个领先的 LLM(Claude、GPT、Gemini、Grok)接收相同的提示,并内置反幻觉防护。 阅读方法论 →
上个月,全球银行、科技巨头和政府都在争相控制 Mythos 所带来的风险,据称这款 Anthropic 模型功能强大,能够发现全球软件基础设施中数千个先前未知的漏洞。
只有一个问题:他们担心的能力已经存在了。
网络安全专家和人工智能研究人员告诉 CNBC,使用现有模型,包括来自 Anthropic 和 OpenAI 的模型,就可以发现 Mythos 披露的软件漏洞。
网络安全公司 watchTowr Labs 的首席执行官 Ben Harris 表示:“我们现在在整个行业看到的现象是,人们能够通过巧妙地编排公共模型来重现 Mythos 发现的漏洞,并获得非常非常相似的结果。”
Mythos 的出现让高管和政策制定者们感到震惊,他们担心一个危险的新人工智能网络犯罪时代可能即将来临。Anthropic 将其发布限制在包括苹果、亚马逊、摩根大通和 Palo Alto Network 在内的几家美国公司,以降低不良行为者获得该技术的风险。
即使采取了这项预防措施,此次发布也促使特朗普政府考虑对未来模型实施新的政府监管。
这是 Anthropic 一系列备受瞩目发布中的最新一次,这些发布加剧了其与 OpenAI 的竞争,因为这两家人工智能巨头正接近备受期待的首次公开募股 (IPO)。在 Mythos 发布几周后,OpenAI 首席执行官 Sam Altman 宣布了 GPT-5.5-Cyber,这是一款专门为网络安全量身定制的模型。
周四,OpenAI 允许经过审查的网络安全团队有限地访问 GPT-5.5-Cyber。
Mythos 的受控推出是名为 Project Glasswing 的安全措施的一部分,旨在让企业界有时间为应对即将到来的来自犯罪集团和敌对国家的攻击做好网络防御准备。
Anthropic 首席执行官 Dario Amodei 本周在一次 Anthropic 活动上表示:“危险在于漏洞数量、数据泄露数量以及勒索软件对学校、医院,更不用说银行造成的经济损失的巨大增加。”
但对于那些在网络战前线作战的人来说,Anthropic 宣传的关键能力之一——大规模发现软件漏洞——自去年以来就已经存在了。
网络安全公司 Vidoc 的首席执行官 Klaudia Kloc 告诉 CNBC:“我们目前拥有的模型足以大规模检测零日漏洞,这已经足够可怕了。”
她说,这种情况已经持续了“几个月,如果不是一年的话”。
“零日漏洞”一词指的是一个先前未知的软件缺陷,该缺陷尚未被修补,这使得攻击者有机会在防御者做出反应之前对其进行利用。
Vidoc 的研究人员利用一种称为“编排”的技术来测试他们是否能找到与 Mythos 相同的漏洞。顾名思义,该过程涉及创建工作流程,将代码分成更小的部分,并在各种工具或模型之间进行协调以交叉检查结果。
Kloc 说:“我们使用旧模型针对相同的代码库进行了测试,看看我们是否能够检测到相同的漏洞。我们确实做到了,使用了 OpenAI 和 Anthropic 的旧模型。”
另一家网络安全公司 AISLE 发现,Mythos 的许多头条新闻结果都可以使用更便宜的模型并行工作来重现——这表明规模和协调比拥有最新模型更重要。
AISLE 创始人 Stanislav Fort 在一篇博文中写道:“一千名称职的侦探到处搜寻,找到的错误会比一个必须猜测在哪里寻找的聪明侦探多。”
在接受 CNBC 采访时,Anthropic 并未否认早期模型能够发现软件漏洞。
事实上,该公司发言人表示,Anthropic 多月来一直在警告人工智能的网络能力正在迅速发展。他们指出,2 月份的一篇博文显示,Claude Opus 4.6(一款广泛使用的模型)在开源软件中发现了 500 多个“高危”漏洞。
在本周的 Anthropic 活动上,Amodei 肯定了这一点,他说,虽然 Mythos 发现的软件漏洞规模比早期模型有所激增,但这种趋势并非新现象。
Amodei 说:“风险非常真实。这就是我们采取行动的原因。但从某种意义上说,它们也并不那么令人惊讶……我们已经看到这方面的警告有一段时间了。”
Mythos 的不同之处在于它能够更进一步,在几乎没有人为干预的情况下开发可用的漏洞利用程序,有效地自动化了一个以前需要熟练研究人员才能完成的过程,Anthropic 发言人说。
但网络研究人员表示,为犯罪集团和敌对国家工作的黑客已经具备了这种技能。Kloc 说,来自朝鲜、中国和俄罗斯的黑客“知道如何做到这一点,无论是否有 Anthropic 的帮助”。
根据 Harris 的说法,人工智能驱动的黑客攻击的威胁让企业和政府监管机构担心如何保护关键系统免受新一轮勒索软件和其他类型攻击的影响。
他形容近几周与银行、保险公司和监管机构的谈话是“歇斯底里”。
即使在生成式人工智能出现之前,企业也面临着熟练黑客在数小时内利用新发现漏洞的问题,而修复代码通常需要数天或数周。一些补丁需要将关键系统下线,这使得情况更加复杂。
Harris 说:“行业正因目前面临的漏洞数量而恐慌。但即使在 Mythos 广泛可用之前,它也无法足够快地修复漏洞。”
根据 Harris 的说法,以前,全球只有极少数专家有能力和时间在软件中发现晦涩的漏洞并加以利用。现在,使用当前可用的人工智能模型,造成网络混乱的门槛已经降低。
Harris 说,这意味着银行和其他目标将面临更多攻击,而以前不太吸引网络犯罪分子注意力的软件系统现在将面临威胁。
研究人员表示,虽然 Anthropic、OpenAI 等公司正在努力开发与他们已识别的问题相匹配的网络防御能力,但最初的优势在于进攻,而不是防御。
摩根大通的 Jamie Dimon 上个月的说法也印证了这一点,他表示,虽然人工智能工具最终可以帮助公司防御网络攻击,但它们首先会使它们更容易受到攻击。
“发现的漏洞数量显著增加,但他们似乎还没有部署有助于修复漏洞的工具,”律师事务所 Mayer Brown 的合伙人、纽约金融监管机构网络安全前执行副主管 Justin Herring 表示。
Herring 说:“漏洞管理是网络安全的西西弗斯式任务。”
最初参与 Mythos 发布的小范围群体在修补漏洞方面获得了先机,但也有其弊端。人工智能研究人员尚未获得 Mythos 的访问权限,无法独立验证 Anthropic 的说法或开始构建针对它的防御措施。
有人认为这阻碍了更广泛的网络社区参与到解决方案中来。
使用 Anthropic 模型的网络安全初创公司 Tenzai 的首席执行官 Pavel Gurvich 表示,这造成了“拥有者和无所有者”的阶层,可能会阻碍网络安全创新的步伐。
他说,许多网络安全初创公司正在开发能够帮助企业应对这个新的人工智能时代的解决方案。
网络安全初创公司 Zafran Security 的联合创始人 Ben Seri 说:“他们正试图在这一切向全世界普及之前找到修复世界的方法。这是一种先有鸡还是先有蛋的局面,而且你会打破一些鸡蛋。这是不可避免的。”
四大领先AI模型讨论这篇文章
"人工智能在软件开发中的武器化正在将安全的经济负担从攻击者转移到企业,给软件利润率带来永久性拖累。"
“Mythos”的炒作周期是一场精心设计的叙事工程大师课,旨在抢占 IPO 估值。通过将现有的能力——人工智能辅助漏洞发现——包装成一种“新”的生存威胁,Anthropic 和 OpenAI 实际上是在迫使他们的企业客户(JPM、AAPL、AMZN)进入一种高支出、防御性依赖的永久状态。市场错误地将其视为人工智能创新的净积极因素,而实际上,它预示着软件行业的“技术债务”负债将大幅扩张。我们看到的不是安全方面的突破;而是漏洞利用的商品化,这将不可避免地压缩 SaaS 提供商的利润率,因为它们被迫将研发预算从功能开发转移到持续的、自动化的补丁修复。
如果“进攻”现在已经自动化,那么“防御”将不可避免地通过人工智能原生的自主补丁修复来实现,从而可能创造一个真正能够降低长期运营风险的自愈软件生态系统。
"人工智能漏洞/漏洞利用自动化迫使网络安全支出激增,将 PANW 等领导者重新定价至 40 倍以上的前瞻性市盈率,因为防御工具使进攻商品化。"
Mythos 并未发明漏洞查找功能——现有的模型通过编排已经可以实现——但其大规模自主漏洞利用生成将攻防平衡急剧地倾向于攻击者,尽管补丁滞后(数天/数周),仍会放大银行/医院的泄露量。有限的访问权限(AAPL、AMZN、JPM、PANW)创造了早期修补的“有者”,加剧了不平等;预计网络保险费用飙升,国防预算同比增长 20-30%。OpenAI 的 GPT-5.5-Cyber 作为回应,在 IPO 前加剧了人工智能-网络安全竞争。短期:勒索软件痛苦加剧;长期:网络安全行业因军备竞赛需求而重新定价。
Vidoc/AISLE 等专家的证明,Mythos 的结果今天就可以廉价地复制,因此没有发生根本性变化——黑客(NK/中国/俄罗斯)已经很精英,人工智能只是降低了门槛,但并未泛滥。过度炒作的风险会通过特朗普时代的监管扼杀 Anthropic/OpenAI 的 IPO。
"威胁不在于 Mythos 引入了新的漏洞查找能力——而在于它普及了*漏洞利用自动化*,降低了攻击者的技能门槛,而防御基础设施仍然在结构上无法跟上发现速度的步伐进行修补。"
该文章的核心论点——Mythos 的炒作被夸大了,因为现有模型已经可以发现漏洞——混淆了能力与*规模和自动化*。是的,Claude Opus 4.6 发现了 500 个漏洞;Mythos 显然在最少的人工干预和可用的漏洞利用程序的情况下发现了数千个。这是*非专家可及性*方面有意义的飞跃。真正的风险不是国家突然获得了超能力——而是中等规模犯罪集团的进入门槛崩溃了。该文章还掩盖了不对称性:防御落后于进攻数月至数年。重要的是威胁是否“新”,而不是补丁速度是否能跟上发现速度。它不能。对苹果、亚马逊、摩根大通、帕洛阿尔托的受控发布实际上*增加了*系统性风险,因为它造成了信息不对称,并延迟了整个生态系统的防御创新。
如果 Mythos 真正使无技能的参与者能够大规模武器化漏洞利用,那么该文章自己的消息来源(Kloc、Fort、Harris)将低估威胁,而不是揭穿它。“歇斯底里”的说法可能是媒体驱动的对一个真正危险的转折点的最小化。
"人工智能驱动的漏洞发现更有可能促进防御支出和更快的修复,为网络安全供应商创造持久的需求,而不是立即引发系统性泄露高峰。"
虽然 Mythos 类的工具凸显了人工智能大规模发现软件缺陷的能力,但文章的描绘可能将相关性与因果关系混淆。真正的经济信号不是突然的泄露浪潮,而是防御支出的可能加速、更快的补丁周期以及随着公司将人工智能辅助风险管理制度化而采用更多的安全服务。缺失的背景包括时间范围、实际的泄露频率以及防御者的新工具将在漏洞发现和修复之间的运行时间缩短多少。监管审查可能会从言辞转向强制性规定,为安全供应商创造持久的需求叠加,即使生存威胁今天仍然被夸大。
最有力的反驳:Mythos 可能是一种真实、可扩展的能力。如果攻击者广泛采用这些工作流程,威胁可能会比防御能力跟上得更快地出现。
"高端漏洞利用的商品化将使传统的网络保险模式过时,迫使软件行业进行结构性整合。"
Claude,你抓住了关键点:中等规模参与者的进入门槛是真正的经济催化剂。然而,每个人都忽略了“保险陷阱”。如果 Mythos 级别的自动化使得泄露不可避免,网络保险费将变得无法承保。我们不仅仅是在考虑 20-30% 的预算增长;我们正在考虑一个根本性的转变,网络安全将成为一种不可保的运营风险,迫使传统的 SaaS 提供商大规模、强制性地整合到安全的“围墙花园”生态系统中。
"人工智能使网络保险公司能够有利可图地为 Mythos 风险定价,从而创造一个超级周期,而不是保险陷阱。"
Gemini,你的“保险陷阱”假设的是静态承保,但网络保险公司(例如 Beazley、AXA XL)已经在整合人工智能进行动态风险建模——Mythos 加速了这一点,通过预测性补丁评分,实现了 30-50% 的保费上涨,同时控制了损失率。它远非无法承保,而是点燃了网络保险股票的超级周期,将 1000 亿美元以上的资金流入 PANW/CRWD,而传统 SaaS 则土崩瓦解。
"动态网络保险定价无法跑赢不对称的攻防时间线;当承保风险变得无法量化时,超级周期就会结束。"
Grok 的网络保险超级周期假设保险公司能够比泄露频率的加速更快地进行动态定价。但如果 Mythos 驱动的攻击比人工智能辅助的补丁修复快几个月——Claude 的不对称性观点——保险公司将面临逆向选择:只有对自己防御有信心的公司才会购买保险,而高风险的 SaaS 则暴露在外,无论如何都无法承保。保费飙升,但承保崩溃。这个“超级周期”可能只是一个短暂的套利窗口,然后市场就会被抓住。
"来自 Mythos 类自动化的系统性、相关性损失可能会破坏网络保险超级周期,除非风险是非相关的且资本充足。"
虽然 Grok 描绘了对网络保险公司有利的动态定价顺风,但真正的危险是相关性、系统范围的损失。Mythos 类的自动化可能会压缩整个经济的泄露到补丁窗口,迫使许多保险公司同时索赔。如果损失同时飙升,承保资本可能会比模型适应的速度更快地蒸发,从而引发准备金冲击、评级下调或强制性融资。短期保费飙升似乎是可能的,但长期超级周期需要非相关风险和稳定的资本——这两者都不确定。
小组成员对 Mythos 的人工智能辅助漏洞发现的影响意见不一。一些人认为这是增加网络安全支出的催化剂,也是人工智能和网络保险股票的推动力,而另一些人则警告不可避免的泄露、无法承保的运营风险以及潜在的市场崩溃。
Grok 提出的网络保险股票潜在超级周期,保费增加和动态风险建模。
Gemini 和 Claude 强调的,由于 Mythos 级别的自动化,不可避免的泄露和无法承保的运营风险。