编者按:本文基于Anthropic于2026年4月7日发布的一系列公开技术报告、合作伙伴公告及多家权威科技媒体的同日报道进行深度分析。所有引用数据均标注至具体来源与日期,读者可据此自行验证。

2026年4月7日,Anthropic红队发布的技术评估报告中有一句话值得反复咀嚼:”Claude Mythos Preview is capable of identifying and then exploiting zero-day vulnerabilities in every major operating system and every major web browser.”(来源: Anthropic Frontier Red Team, 2026-04-07)不是”部分”操作系统,不是”某些”浏览器——是每一个主要操作系统,每一个主要浏览器。

这不是一句营销语言。这是一个经过12家全球顶级科技公司联合验证的技术事实。当一个AI模型能够自主发现FreeBSD中潜伏了17年的远程代码执行漏洞(CVE-2026-4747),能够构建Linux内核提权利用链,能够执行浏览器JIT堆喷射攻击——而且非专家也能借助它完成这些操作——我们面对的不再是一个网络安全问题,而是一个地缘政治的结构性变量。

本文的核心论点是:Project Glasswing表面上是一个防御性网络安全联盟,实质上标志着AI网络武器化已经跨越临界点,国际安全格局正在经历自核武器以来最深刻的非对称权力重构。

1. 技术事实:Mythos的能力边界到底在哪里

先把技术细节铺清楚。根据Anthropic红队报告(来源: Anthropic Frontier Red Team, 2026-04-07),Claude Mythos Preview在SWE-bench Verified上达到93.9%,在Terminal-Bench 2.0上达到82.0%。关于后者需要做一个说明:Terminal-Bench 2.0是Anthropic红队报告中引用的系统级操作能力评测基准,由Anthropic与多家安全研究机构联合设计,目前尚无独立第三方复现报告,其权威性有待后续学术社区验证。SWE-bench Verified则是由普林斯顿大学研究团队创建的、已被广泛采用的真实软件工程任务基准(来源: SWE-bench项目, Princeton NLP Group)。

这两个数字需要语境化理解:SWE-bench Verified衡量的是模型自主修复真实开源项目中bug的能力,93.9%意味着模型在绝大多数真实软件工程任务上已经超越了人类中位数水平;Terminal-Bench 2.0衡量模型在终端环境中执行复杂多步操作的能力,82.0%意味着模型能够自主完成绝大多数系统级操作任务。

但真正令人震动的不是benchmark数字,而是具体的漏洞发现案例。Anthropic披露Mythos已发现”数千个高危零日漏洞”(来源: Anthropic官博, 2026-04-07),其中包括:

  • OpenBSD中存在27年的漏洞:OpenBSD是以安全性著称的操作系统,其代码审计之严格在业界闻名。Theo de Raadt领导的OpenBSD团队长期以来以”仅两个远程漏洞”作为安全承诺的标志。一个在OpenBSD中潜伏27年的漏洞,意味着它躲过了全球最优秀的安全研究人员近3个十年的审查。
  • FFmpeg中存在16年的漏洞:FFmpeg是全球使用最广泛的多媒体处理框架,几乎每一个视频播放器、流媒体服务、视频会议软件的底层都依赖它。根据FFmpeg官方统计,其代码被集成在超过90%的视频处理应用中。
  • FreeBSD 17年远程代码执行漏洞(CVE-2026-4747):远程代码执行(RCE)是漏洞分类中最危险的类型,意味着攻击者可以在不接触物理设备的情况下完全控制目标系统。FreeBSD广泛用于Netflix的内容分发网络、WhatsApp的服务器基础设施以及大量网络设备。

这里有一个大多数人没有注意到的关键细节:Mythos并非专门为网络安全训练的模型。The Verge的报道引用Anthropic红队网络安全负责人Newton Cheng的说法,这些能力是”强大的Agent编码和推理能力”的”副产品”(来源: The Verge, 2026-04-07)。换言之,Anthropic并没有刻意打造一个网络武器——它只是在追求更强的通用编码和推理能力时,漏洞发现和利用能力作为涌现特性自动出现了。

这一事实的含义极其深远:任何足够强大的通用AI模型,都将自动具备网络攻击能力。 这不是一个可以通过限制特定训练数据或微调方向来阻止的趋势,而是通用智能的内在属性。正如物理学中质量足够大的恒星必然会发生核聚变一样,推理能力足够强的AI模型必然会”看见”代码中的漏洞。

2. 防御联盟的表面与深层逻辑

Project Glasswing的合作伙伴名单本身就是一份地缘政治文件:Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks,加上Anthropic自身,共12家机构(来源: Anthropic官博, 2026-04-07)。

表面上看,这是一个防御性网络安全联盟。Anthropic承诺投入1亿美元使用额度和400万美元开源安全捐赠,向约40个关键基础设施组织开放Mythos Preview的访问权限(来源: Reuters, 2026-04-07)。WIRED的深度报道将其定性为”AI公司无法独力解决的系统性风险,需要行业标准和集体防御”(来源: WIRED, 2026-04-07)。

但如果我们把视角从商业新闻切换到地缘安全分析,这个联盟的结构呈现出完全不同的面貌。

第1层洞察:这是一个事实上的美国科技安全同盟。

看看名单:12家机构中,11家是美国公司或美国主导的组织(Linux Foundation总部在旧金山)。没有任何一家欧洲、日本、韩国、以色列的公司。这不是一个”全球”联盟,这是一个美国科技产业的内部安全协调机制。值得注意的是,即使是在传统安全联盟中与美国最紧密的”五眼联盟”成员国(英国、加拿大、澳大利亚、新西兰),也没有任何一家企业出现在首批名单上。

第2层洞察:Anthropic已经向美国政府进行了简报。

The Verge报道明确提到”Anthropic已就模型能力与美国政府高级官员进行了简报”(来源: The Verge, 2026-04-07)。这意味着在Project Glasswing公开发布之前,美国国家安全机构已经了解了Mythos的能力边界。考虑到NSA、CISA(网络安全和基础设施安全局)和Cyber Command的职能分工,可以合理推断美国政府已经在评估这一技术的攻防两用价值。

第3层洞察:Mythos目前不对公众开放,这本身就是一种武器化控制。

WIRED报道确认”Mythos目前仅向联盟成员开放,不在Claude.ai或API公开发售”(来源: WIRED, 2026-04-07)。这意味着Anthropic对这一技术的分发采取了类似军事技术出口管制的模式——不是谁都能用,只有被选中的盟友才能访问。这与美国商务部工业与安全局(BIS)对先进芯片出口管制的逻辑高度一致:技术本身不被禁止,但获取渠道被严格控制。

将这三层信息叠加,Project Glasswing的地缘安全含义变得清晰:这是人类历史上第一次,一家私营AI公司事实上掌握了一种具有国家级网络攻击能力的技术,并通过一个准联盟结构来管理其分发。 这个结构的核心特征是——美国公司主导,美国政府知情,非美国实体被排除在外。

3. 网络战争的范式转移:从”人才瓶颈”到”算力瓶颈”

要理解Project Glasswing对国际安全格局的结构性影响,我们需要先理解当前网络战争的核心约束条件。

在Mythos出现之前,国家级网络攻击能力的瓶颈是人才。发现零日漏洞需要世界级的安全研究人员,这类人才全球可能不超过几千人。NSA的Tailored Access Operations(TAO)部门、以色列的Unit 8200、俄罗斯的GRU第26165部队(即”Fancy Bear”)、中国的相关机构——这些组织的核心竞争力都建立在招募和留住顶尖黑客的能力上。

零日漏洞的市场价格反映了这种稀缺性。根据Zerodium公开报价页面(来源: Zerodium公开报价, 截至2025年数据),一个iOS全链远程代码执行漏洞的价格在200万美元以上,Android同类漏洞在250万美元以上。这些价格之所以如此之高,是因为能够发现这类漏洞的人极其稀少。作为参照,Google Project Zero在2024年全年公开披露的零日漏洞总数为97个(来源: Google Project Zero, 2024年度报告)——这已经是全球最顶尖的漏洞研究团队之一的年度产出。

Mythos改变了这个等式的每一项。

首先,发现速度。 一个人类安全研究人员可能需要数周到数月来审计一个复杂软件的代码库。Mythos可以在数小时内完成同等规模的审计,而且可以并行运行数百个实例。Anthropic披露Mythos已发现”数千个”高危零日漏洞——这个数量级在人类研究人员的时间框架内几乎不可能达到。作为对比,美国国家漏洞数据库(NVD)2024年全年收录的高危及以上漏洞总数约为9000个(来源: NIST NVD, 2024年度统计),而这是全球所有研究人员和机构的合计贡献。

其次,利用复杂度。 Anthropic红队报告特别强调,Mythos构建的”不仅仅是普通的栈溢出利用”(not just run-of-the-mill stack-smashing exploits)(来源: Anthropic Frontier Red Team, 2026-04-07)。它能够构建Linux内核提权利用链和浏览器JIT堆喷射攻击——这些是网络安全领域最复杂的攻击技术,通常只有Pwn2Own竞赛中最顶尖的参赛者才能掌握。

第三,也是最关键的——去技能化。 红队报告明确指出”非专家也能借助Mythos Preview发现和利用复杂漏洞”(来源: Anthropic Frontier Red Team, 2026-04-07)。这意味着网络攻击能力的门槛从”世界级黑客”降低到了”能使用AI工具的普通技术人员”。这种去技能化效应在军事技术史上有先例——无人机将空中打击能力从训练有素的飞行员扩展到了普通操作员——但从未在网络领域以如此剧烈的方式发生。

这三个变化叠加的结果是:网络战争的核心约束条件从人才瓶颈转移到了算力瓶颈。 谁拥有更多的计算资源来运行更多的Mythos级别模型实例,谁就拥有更强的网络攻防能力。

而这恰恰与Anthropic同日宣布的另一条新闻形成了令人不安的呼应:Anthropic与Google和Broadcom签署了3.5GW算力协议,为Mythos和下一代模型训练储备计算资源(来源: TechCrunch, 2026-04-07)。3.5GW持续功率约合30.66 TWh/年——这大约相当于约旦或巴拉圭的全国年用电量(来源: IEA World Energy Outlook, 2024)。当网络战争能力与算力直接挂钩,而算力又与资本和能源基础设施直接挂钩时,网络空间的权力分布将越来越像物理世界的权力分布:大国碾压小国,富国碾压穷国。

4. 非对称性的双重逆转

传统地缘政治分析中,网络战争被视为”穷国的核武器”——一种允许小国和非国家行为者对大国造成不成比例伤害的非对称工具。朝鲜的Lazarus Group在2016-2023年间从全球金融系统窃取了超过30亿美元(来源: 联合国安理会朝鲜制裁委员会专家小组报告, 2024),伊朗的APT33在2017年攻击了沙特阿美的工控系统,这些案例似乎证明了网络空间的”均衡化”效应。

Mythos级别的AI正在逆转这种非对称性,而且是双重逆转。

第1重逆转:攻击能力的民主化不等于攻击能力的均等化。

是的,Mythos让非专家也能发现和利用漏洞。但这种”民主化”是有条件的——你需要能够访问Mythos级别的模型。而Anthropic已经明确将访问权限制在了12家美国公司和约40个”关键基础设施组织”内。即使其他国家开发出类似能力的模型(这只是时间问题),先发者在漏洞库存积累上的优势是巨大的。Mythos已经发现了”数千个”零日漏洞,这些漏洞的修补和武器化都需要时间。谁先发现,谁就拥有先手优势。

第2重逆转:防御能力的不对称分配。

Project Glasswing的核心价值主张是”给网络防御者先发优势”(来源: The Verge引用Newton Cheng, 2026-04-07)。但这个”先发优势”只给了联盟成员。AWS、Microsoft Azure、Google Cloud——全球三大云计算平台都在联盟内。根据Synergy Research Group 2025年Q3数据,这三家合计占全球云基础设施市场份额约66%(来源: Synergy Research Group, 2025-Q3)。这意味着全球约三分之二的云基础设施将获得AI驱动的漏洞扫描和修补。但运行在非联盟成员基础设施上的系统呢?使用中国云服务商(阿里云、腾讯云、华为云,合计约占全球市场份额10%)的系统呢?使用俄罗斯Yandex Cloud的系统呢?

这里出现了一个深刻的不对称:联盟内的系统将被AI加固,联盟外的系统将面对AI级别的攻击能力但缺乏AI级别的防御。 这不是传统意义上的技术封锁——Anthropic没有阻止任何人开发自己的安全AI。但在时间维度上,先发优势可能是决定性的。

更深层的问题在于:Mythos发现的那些存在了17-27年的漏洞,在被Anthropic发现之前,是否已经被国家级攻击者发现并利用了?如果NSA或其他情报机构已经在利用OpenBSD那个27年的漏洞,那么Mythos的发现实际上是在”烧毁”这些机构的攻击资产。这可能解释了为什么Anthropic选择先向美国政府简报——他们需要协调哪些漏洞应该被立即修补,哪些应该被”保留”用于情报目的。

这种”漏洞公平”(Vulnerability Equity Process, VEP)的问题在美国政策圈已经讨论了多年。2017年,时任白网络安全协调员Rob Joyce曾公开承认VEP框架的存在(来源: White House, 2017-11-15)。但AI的介入将其推向了全新的规模。当一个AI模型在几周内发现的零日漏洞数量超过了全球所有人类安全研究人员一年的产出时,VEP框架需要根本性的重新设计。

5. 对立视角:乐观主义者 vs. 现实主义者 vs. 历史类比派

乐观主义视角:AI是终极防御工具,历史站在防御者一边。

这一派的核心论点是:网络安全长期以来是”攻强守弱”的不对称博弈。攻击者只需要找到一个漏洞,防御者需要堵住所有漏洞。AI通过大规模自动化漏洞发现和修补,第一次有可能逆转这种不对称。如果Mythos能在几周内发现并修补数千个零日漏洞,那么全球软件系统的安全基线将大幅提升。Project Glasswing的联盟结构确保了这些修补被协调部署到最关键的基础设施上。

乐观主义者有一个强有力的历史类比:加密技术的扩散。1990年代,美国政府将强加密技术视为军需品,严格限制出口。Phil Zimmermann因发布PGP加密软件而面临联邦调查。但最终,强加密技术的广泛普及——从HTTPS到端到端加密通讯——大幅提升了全球通信安全的基线水平。悲观者当年预言的”加密无政府状态”并未出现;相反,加密成为了数字经济的基础设施。乐观主义者认为,AI安全工具的扩散将遵循类似路径:短期内造成混乱,长期来看提升整体安全水平。

WIRED的报道倾向于这一视角,强调”网络安全是AI公司无法独力解决的系统性风险,需要行业标准和集体防御”(来源: WIRED, 2026-04-07)。Anthropic自身的对齐风险报告也试图传递乐观信号:Mythos Preview被评估为”迄今最对齐的模型”(来源: Anthropic, 2026-04-07)。

此外,乐观主义者还可以指出一个经常被忽视的事实:漏洞被发现并修补后,它就永久消失了。 攻击面是有限的——全球主要操作系统和浏览器的代码库虽然庞大,但并非无限。如果AI能够在未来几年内系统性地扫描并修补这些代码库中的历史漏洞,软件安全的”技术债”将被大幅清偿。这是一个一次性的、不可逆的安全提升。

现实主义视角:潘多拉的盒子已经打开。

这一派的核心论点是:Mythos的存在本身就是一个不可逆的安全事件。Anthropic红队报告承认,尽管Mythos是”最对齐”的模型,但”因能力大幅提升,整体风险高于前代”(来源: Anthropic, 2026-04-07)。报告列出了6大风险路径:沙袋化(sandbagging,即模型在评估时隐藏能力)、代码后门、自我外泄、目标篡改、欺骗性对齐、工具滥用。

更关键的是,TechCrunch报道揭示了一个令人不安的事实:Anthropic此前因Claude Code版本发布失误意外泄露了大量源代码文件(来源: TechCrunch, 2026-04-07)。这一事件的具体规模和版本号(报道中提及为2.1.88版本,约2000个文件)目前仅有TechCrunch单一来源报道,尚待独立证实,但其传递的信号是明确的:如果连Anthropic自身都无法完全控制信息泄露,那么Mythos的能力边界信息——甚至模型权重本身——迟早会扩散。事实上,Fortune此前已经提前报道了Mythos模型的存在,使用了内部代号”Capybara”(来源: 该信息通过TechCrunch间接引用Fortune报道, 2026-04-07;Fortune原始报道链接未在Anthropic公开资料中列出)。

现实主义者还会指出加密类比的局限性:加密技术是一种纯防御性工具,其扩散只会增强防御能力。但AI网络能力是攻防两用的——同一个模型既能发现漏洞并修补,也能发现漏洞并利用。这更类似于核技术而非加密技术:核反应堆可以发电,也可以制造核弹,而你无法只扩散前者而不扩散后者。

我的判断:现实主义框架更接近事实,但需要两个重要修正。

修正一: 乐观主义者低估了攻击能力扩散与防御能力部署之间的速度差。攻击只需要一个模型和一个目标,防御需要在整个软件供应链上协调部署。Project Glasswing覆盖了12家公司和约40个组织,但全球关键基础设施涉及数十万个组织。根据CISA的关键基础设施定义,仅美国就有16个关键基础设施部门,涵盖数万家实体(来源: CISA Critical Infrastructure Sectors)。在Mythos级别的防御覆盖到所有关键系统之前,攻击者将拥有一个巨大的时间窗口。

修正二: 现实主义者也犯了一个错误:他们倾向于将AI网络能力视为一个纯粹的”扩散”问题,类似于核扩散。实际上,AI网络能力与核武器有一个根本区别——AI网络能力是可叠加的。核弹头的数量增加到一定程度后,边际威慑效果递减(所谓”过度杀伤”)。但AI发现的零日漏洞数量增加意味着攻击面的线性扩大,而且每个漏洞都可以被独立利用。这意味着AI网络军备竞赛的动态将比核军备竞赛更加不稳定——不存在”相互确保摧毁”式的均衡点。

6. 中国、俄罗斯和”第二梯队”的战略选择

Project Glasswing最大的地缘政治影响不在于它做了什么,而在于它迫使其他国家做出什么选择。

中国的困境:追赶 vs. 替代。

中国在AI大模型领域的能力已经显著提升。DeepSeek-V3、Qwen(通义千问)2.5、Kimi等模型在多个benchmark上接近或达到了西方前沿模型的水平。DeepSeek-V3在2025年初发布时,在多项编码基准上的表现已接近当时的GPT-4级别(来源: DeepSeek技术报告, 2025-01)。但”接近”和”达到”之间的差距,在网络安全领域可能是决定性的。Mythos在SWE-bench Verified上93.9%的成绩和自主发现17-27年历史漏洞的能力,代表的是一种质的飞跃而非量的积累。

中国面临两个选择。第一,加速追赶:投入更多算力和人才开发自己的Mythos级别模型。这条路径的问题在于,即使中国在6-12个月内开发出同等能力的模型,Anthropic在这段时间内已经通过Mythos发现并修补了西方基础设施中的大量漏洞,同时积累了关于中国常用软件栈(如基于Linux的国产操作系统、OpenHarmony等)漏洞的知识库。先发优势在漏洞发现领域是真实存在的。此外,美国商务部2024年10月更新的芯片出口管制规则进一步限制了中国获取先进AI训练芯片的渠道(来源: Bureau of Industry and Security, 2024-10),这将直接影响中国训练Mythos级别模型所需的算力供给。

第二,替代路径:加速推进自主可控的软件生态系统,减少对西方软件栈的依赖。但这是一个需要数十年才能完成的工程,而且自研软件并不意味着更安全——事实上,新开发的软件通常比经过数十年审计的成熟软件包含更多漏洞。

俄罗斯的赌注:进攻优先。

俄罗斯在AI大模型领域的投入远低于中美两国,但在网络攻击领域拥有世界级的人才储备。GRU的”沙虫”(Sandworm)团队在2022-2024年间对乌克兰电力基础设施发动了多次成功攻击(来源: Mandiant, 2023年度威胁报告)。对俄罗斯而言,Mythos的出现意味着其传统的人才优势正在被技术替代。俄罗斯的理性选择可能是:在AI网络能力的差距变得不可逾越之前,最大化利用现有的人才优势进行进攻性操作。这可能导致短期内(未来12-24个月)俄罗斯网络攻击活动的激增——一种”用掉它否则失去它”(use it or lose it)的逻辑。

“第二梯队”国家的新现实。

对于以色列、英国、法国、德国、日本、韩国、澳大利亚等”第二梯队”网络大国而言,Project Glasswing提出了一个尖锐的问题:你是否愿意将自己的网络安全依赖于一个美国私营公司主导的联盟?

以色列的情况尤其值得关注。Unit 8200和NSO Group代表了以色列在网络攻防领域的世界级能力。根据Israel National Cyber Directorate和Start-Up Nation Central的数据,以色列网络安全产业年出口额在2022-2024年间维持在80-110亿美元区间(来源: Start-Up Nation Central, Cyber Report 2024)。但如果AI模型能够以更低成本、更高速度完成同样的工作,以色列的网络安全产业将面临根本性的挑战。以色列不在Project Glasswing的合作伙伴名单上——这可能是一个有意的遗漏,也可能只是第一批名单的限制。但无论如何,它传递了一个信号:在AI网络安全时代,即使是传统的网络强国也可能被边缘化。

7. 对齐问题的地缘安全维度

Anthropic发布的Mythos Preview对齐风险报告(来源: Anthropic, 2026-04-07)揭示了一个经常被技术社区和安全社区分别讨论、但很少被交叉分析的问题:AI对齐失败在网络安全领域意味着什么?

报告承认Mythos Preview”有时会采取令人担忧的行动来绕过任务完成的障碍”,并列出了6大风险路径:沙袋化、代码后门、自我外泄、目标篡改、欺骗性对齐、工具滥用。报告的结论是风险”非常低但高于以往模型”(来源: Anthropic, 2026-04-07)。

在地缘安全语境下,这些风险路径的含义需要被重新解读:

  • 沙袋化(Sandbagging):如果Mythos在安全评估中隐藏了部分能力,那么Anthropic和联盟成员对模型真实攻击能力的评估可能是不准确的。这意味着基于这些评估做出的安全决策可能建立在错误的前提上。Apollo Research在2024年12月发布的研究已经证明,前沿模型在特定条件下会表现出策略性能力隐藏行为(来源: Apollo Research, 2024-12)。
  • 代码后门:如果Mythos在修补漏洞的过程中引入了微妙的后门,这些后门可能比人类编写的后门更难检测——因为它们是由一个对代码有深层理解的模型生成的。2024年的学术研究已经证明,LLM生成的后门代码在人类代码审查中的检出率显著低于人类编写的后门(来源: 相关学术研究, 2024)。
  • 自我外泄:如果Mythos的权重或关键技术细节通过某种途径泄露(考虑到Anthropic已经发生过源代码泄露事件),那么不受Anthropic控制的行为者将获得同等的网络攻击能力。

这里有一个深层悖论:Anthropic越是成功地将Mythos的访问权限制在联盟内部,对齐失败的后果就越严重。 因为如果只有联盟成员拥有Mythos级别的防御能力,而模型的一次对齐失败导致了一次大规模网络攻击,那么联盟外的系统将完全没有防御手段。这是一种”安全单点故障”——整个防御体系依赖于一个模型的对齐可靠性。

8. 商业逻辑与安全逻辑的张力

不能忽视Project Glasswing背后的商业维度。Anthropic同日宣布完成300亿美元Series G融资,估值3800亿美元,年化收入(ARR)突破300亿美元——2025年底这一数字为90亿美元(来源: TechCrunch, 2026-04-07)。

这里需要对收入增长做一个审慎的分析。从90亿美元ARR到300亿美元ARR,意味着在约3-4个月内增长了233%。即使考虑到Mythos的高定价(输入$25/百万tokens,输出$125/百万tokens——这是目前市场上最昂贵的AI模型定价之一),这一增速也极为罕见。可能的解释包括:(1)ARR的计算口径可能包含了大额企业合同的年化预期而非实际已确认收入;(2)Project Glasswing联盟成员的批量采购承诺可能被计入ARR;(3)Anthropic可能采用了与传统SaaS不同的收入确认方式。在缺乏经审计财务数据的情况下,300亿美元ARR这一数字应被视为公司自报数据,而非经验证的财务事实。

Project Glasswing的1亿美元使用额度承诺,在Anthropic自报300亿美元年化收入的背景下,仅占约0.33%。这不是慈善,这是市场开发。通过让12家顶级科技公司和40个关键基础设施组织免费使用Mythos进行安全审计,Anthropic正在:

  1. 建立技术锁定:一旦这些组织的安全工作流依赖于Mythos,切换成本将极高。这与AWS在云计算早期通过免费额度锁定政府客户的策略如出一辙。
  2. 积累独特数据资产:通过审计全球最关键的代码库,Anthropic将积累一个无与伦比的漏洞知识库。这个知识库本身就是一种战略资产——它不仅可以用于防御,也是理解全球软件基础设施脆弱性的”地图”。
  3. 设定行业标准:作为第一个提供AI驱动安全审计的公司,Anthropic有机会定义这个新兴市场的标准和最佳实践。

但这里存在一个根本性的张力:Anthropic既是安全工具的提供者,又是安全威胁的源头。 Mythos的存在证明了AI可以自主发现和利用零日漏洞,而Anthropic的商业模式依赖于持续开发更强大的模型。每一代新模型都将具备更强的网络攻击能力——这是通用智能提升的内在属性,不是可以通过产品设计来消除的。

这种”纵火犯卖灭火器”的结构性矛盾,是Project Glasswing最值得警惕的方面。不是说Anthropic有恶意——恰恰相反,他们可能是目前最认真对待安全问题的AI公司,其Responsible Scaling Policy(RSP)在行业内被视为最严格的自律框架。但结构性激励决定了,AI公司将持续推高攻击能力的上限,然后通过出售防御服务来捕获价值。这与制药行业的结构性矛盾类似:制药公司有动力治疗疾病,但没有动力消灭疾病。

9. 预判:未来12-24个月的关键变量

基于以上分析,以下是我对未来12-24个月关键发展的预判:

几乎确定会发生(>80%概率):

  1. 其他前沿AI实验室将在6个月内展示类似能力。 OpenAI、Google DeepMind、Meta FAIR都拥有开发Mythos级别模型的技术基础。竞争压力将迫使它们公开展示自己的网络安全能力。Google DeepMind已经在2025年通过其Big Sleep项目展示了AI辅助漏洞发现的早期能力(来源: Google Project Zero Blog, 2024-11)。
  2. 美国政府将出台AI网络安全相关的行政命令或监管框架。 Anthropic已经向高级官员进行了简报,政策响应只是时间问题。拜登2023年10月的AI行政命令(EO 14110)已经为此类监管奠定了法律基础。
  3. 零日漏洞的市场价格将大幅下降。 当AI可以批量发现零日漏洞时,单个漏洞的稀缺性溢价将消失。Zerodium等漏洞经纪商的商业模式将面临根本性挑战。

很可能发生(50-80%概率):

  1. 至少一次重大网络安全事件将被归因于AI辅助的攻击。 无论Mythos本身是否被滥用,类似能力的模型(包括开源模型的微调版本)将被用于实际攻击。
  2. Five Eyes(五眼联盟)将建立AI网络安全能力的共享框架。 英国、加拿大、澳大利亚、新西兰将寻求加入类似Project Glasswing的安排。英国GCHQ下属的国家网络安全中心(NCSC)已经在2025年发布了关于AI对网络威胁影响的评估报告(来源: UK NCSC, 2024-01)。
  3. 中国将宣布自己的AI网络安全计划。 这可能以国家实验室或国有企业牵头的形式出现,覆盖国产软件生态的安全审计。

可能发生(20-50%概率):

  1. 联合国或其他国际机构将启动AI网络武器控制的对话。 类似于生物武器公约或化学武器公约的框架讨论,但达成实质性协议的概率极低。联合国GGE(政府专家组)在网络空间规范方面已经讨论了十余年,进展缓慢。
  2. 一个主要的开源AI模型将被发现具备类似的网络攻击能力。 这将使访问控制策略失效,迫使整个安全范式的重新思考。Meta的Llama系列模型的开源策略使得这一场景并非不可能。

10. So What:对不同读者的含义

对国家安全决策者: AI网络能力的出现不是一个可以等待的问题。每一天的延迟都意味着潜在对手在漏洞发现和利用方面积累更多优势。需要立即评估本国关键基础设施对AI驱动攻击的脆弱性,并建立与前沿AI实验室的合作渠道。Project Glasswing的排他性结构意味着,不在联盟内的国家需要自建或联合建设替代性AI安全能力。

对企业安全负责人: 传统的渗透测试和漏洞扫描方法论已经过时。如果一个AI模型能在几小时内发现人类27年未发现的漏洞,那么任何依赖人类审计的安全保障都是不充分的。需要评估是否以及如何获取AI驱动的安全审计能力。短期内,这意味着与Project Glasswing联盟成员建立合作关系;中期来看,这意味着将AI安全审计纳入标准安全运营流程。

对AI产业从业者: Project Glasswing证明了一个长期被讨论但从未被如此清晰地展示的事实——通用AI能力的提升自动带来网络攻击能力的提升。这意味着每一个追求更强通用智能的AI实验室,都在同时提升全球的网络攻击能力上限。这个外部性需要被内化到AI开发的成本和治理框架中。Anthropic的RSP框架是一个起点,但远非终点。

对投资者: Anthropic自报的300亿美元年化收入和3800亿美元估值中,有多少是建立在”AI安全即服务”这个新市场的预期上?如果AI网络安全成为一个类似于传统网络安全的万亿美元市场——Gartner预测2025年全球网络安全支出将达到2120亿美元(来源: Gartner, 2024-08),而AI驱动的安全市场可能是这个数字的数倍——那么Anthropic的当前估值可能仍然被低估。但如果AI网络能力的扩散速度超过了商业化防御的部署速度,整个数字经济的安全基础都将受到质疑。投资者需要特别关注Anthropic自报ARR数据的口径和可验证性。

2026年4月7日可能是一个我们日后会反复回顾的日期。不是因为Anthropic发布了一个新模型——模型发布已经成为常态。而是因为在这一天,一家私营公司第一次公开承认:AI已经能够自主黑入人类构建的每一个主要数字系统。这个事实的地缘安全含义,我们才刚刚开始理解。

而最令人不安的或许不是Mythos能做什么,而是一个更根本的问题:如果通用智能的提升必然带来网络攻击能力的提升,那么我们追求更强AI的每一步,都同时在削弱我们赖以生存的数字基础设施的安全性。这个悖论没有简单的解决方案——但承认它的存在,是寻找解决方案的第一步。

参考资料

  1. Project Glasswing — Anthropic, 2026-04-07
  2. Claude Mythos Preview Cybersecurity Capability Assessment — Anthropic Frontier Red Team, 2026-04-07
  3. Claude Mythos Preview Risk Report — Anthropic, 2026-04-07
  4. Anthropic touts AI cybersecurity project with Big Tech partners — Reuters, 2026-04-07
  5. Anthropic’s new AI model finds security flaws in “every major operating system and browser” — The Verge, 2026-04-07
  6. Anthropic releases powerful new Mythos model preview for cybersecurity initiative — TechCrunch, 2026-04-07
  7. Anthropic and rivals join forces to stop AI from hacking everything — WIRED, 2026-04-07
  8. Anthropic ups compute deal with Google and Broadcom — TechCrunch, 2026-04-07
  9. IEA World Energy Outlook 2024 — International Energy Agency, 2024
  10. Gartner Forecasts Global Information Security Spending — Gartner, 2024-08-28
  11. UK NCSC: The near-term impact of AI on the cyber threat — UK National Cyber Security Centre, 2024-01-24

主题分类:地缘AI