2026年5月5日,下曼哈顿,Anthropic的金融服务发布会上,Dario Amodei说了一句引发关注的话:

“中国的AI模型距离我们大概只有6到12个月。而这大约就是我们有的时间。”

这不是他在谈AI能力竞争的宏观叙事。他在谈一件具体的事:Anthropic最新的Mythos模型已经在全球关键软件中发现了数万个安全漏洞,其中绝大多数还没有被修复,因为公开它们意味着攻击者会立刻利用这些漏洞。

这个”危险窗口”的概念,值得我们认真拆解。

Mythos发现了什么,规模有多大

要理解这件事的严重性,我们需要先了解一个对比数字。

Anthropic的一个更早期Claude模型,对Firefox浏览器进行了安全分析,发现了大约20个漏洞。这已经是一个令人印象深刻的数字——传统的安全研究团队可能需要数个月才能找到同样数量的漏洞。

Mythos模型在Firefox上发现的漏洞数量是:将近300个。

不是20个,是300个。

而这只是Firefox一个软件的结果。当Amodei说”所有软件的总数现在达到了数万个”,他在描述的是:一个单一AI模型,以远超人类安全研究员速度和规模,正在扫描全球软件基础设施,持续发现此前不为人知的安全漏洞。

这些漏洞是真实的,不是误报。它们都是”decades-old”——存在了数十年、深埋在代码库里的缺陷,等待被发现。AI让这个发现过程从以年计算变成了以周计算。

为什么大多数漏洞还没有修复

发现漏洞,并不等于漏洞不再危险。

一个已知但未修复的漏洞,在某些情况下比一个未知漏洞更危险——因为一旦这个漏洞被公开,攻击者会立刻知道在哪里挖。这就是为什么安全界有一个惯例:在向软件厂商报告漏洞之后,通常给予90天的修复窗口,然后才公开披露。这90天的窗口是为了给厂商足够时间发布补丁,让用户安装更新,然后才让攻击者知道这个漏洞的具体位置。

Mythos发现的数万个漏洞面临的是同样的问题,但规模放大了无数倍:

  • 漏洞太多,修复速度远跟不上发现速度
  • 涉及的软件厂商太多,协调难度极高
  • 很多关键基础设施(医院、银行、电网控制系统)的更新周期很慢
  • 很多老旧软件根本没有活跃的维护团队

“绝大多数还没有被公开披露,因为它们还没有被修复,而坏人一旦知道就会利用,”Amodei说。

这意味着:现在,全球有数万个已知但未公开的安全漏洞,存在于医院的医疗设备系统里、银行的核心交易系统里、工厂的工控系统里、政府的数字基础设施里。Anthropic知道这些漏洞在哪里,受影响的软件厂商知道(或者正在被通知),但公众和攻击者目前还不知道。

6-12个月窗口的真实含义

这就是为什么Amodei提到6-12个月。

逻辑是这样的:目前发现这些漏洞的是Anthropic的Mythos,这是全球最强的AI模型之一,只对少数合作伙伴开放。攻击者——无论是犯罪组织还是国家级黑客——目前还不具备同等能力来独立发现这些漏洞。

但Amodei认为中国的AI研究能力距离同等水平大约只有6-12个月。当中国(或其他行为者)的AI模型达到Mythos的能力水平时,他们也能够独立扫描全球软件,找到同样的漏洞——或者找到更多。届时,这些漏洞就不再是秘密了,攻击将不可避免。

换句话说:我们有大约6-12个月的时间,在”好人知道这些漏洞”但”坏人还无法独立发现这些漏洞”的窗口里,完成尽可能多的修复工作。这个窗口一旦关闭,补丁的速度就完全取决于厂商和用户——攻击者会开始主动利用他们自己找到的漏洞。

这个窗口实际上能用来做什么

问题是:6-12个月,数万个漏洞,涉及全球基础设施,这个修复任务的规模意味着什么?

乐观计算:如果我们有6个月,约180天,要修复1万个漏洞,那么每天需要修复约55个漏洞。而漏洞修复不只是改代码——它需要代码审查、测试、发布、部署、用户安装。对于关键基础设施,每一步都需要严格的变更管理流程。很多情况下,”打补丁”意味着系统停机,而医院、电网、银行无法轻易停机。

更现实的图景:Amodei没有说这1万个漏洞都同等重要。安全漏洞有优先级——CVSS评分(通用漏洞评分系统)区分了关键、高危、中等、低危漏洞。AI扫描出的漏洞中,真正危险的可能只有其中一小部分,但”一小部分”乘以”数万个”,依然是一个庞大的数字。

以Firefox为例:Mythos找到了将近300个漏洞。即使其中只有5%是CVSS评分9分以上的严重漏洞,那也是将近15个关键漏洞,每一个都可能允许攻击者完全控制运行Firefox的用户设备。对于全球超过10亿用户使用的浏览器,15个关键漏洞意味着潜在的大规模攻击面。

已经在发生的行动:Anthropic正在将Mythos限制在少数合作伙伴范围内,原因之一正是控制这种能力的扩散。本次活动宣布的Anthropic与FIS(金融软件提供商)、摩根大通等金融机构的合作,部分目的是在受控环境内部署Mythos用于安全检测,在泄露给外部之前先完成修复。这是一种有序的披露和修复路径,比把Mythos开放给所有人要稳健得多。

但这也带来了一个新问题:哪些组织能够访问Mythos的扫描结果?目前来看,有能力成为Anthropic合作伙伴的是大型金融机构、大型科技公司、美国政府机构。那些没有资源和关系的中小企业、非营利组织、发展中国家的关键基础设施运营商——他们是否也会得到关于影响他们系统的漏洞的通知?Amodei没有具体说明这个机制。

三个视角

政府和监管视角(担忧):一个私人公司掌握着全球最大的未公开漏洞数据库,正在单方面决定什么时候告知谁、告知多少。这个权力结构是否合理?如果Anthropic决定告知某些国家的政府但不告知其他国家,如果它优先修复付费客户的系统而不是公共基础设施,谁来监督这个过程?Amodei自己说应该参考汽车行业的监管模式——”你不能就这样创办一家汽车公司而不解决刹车问题”——但目前AI安全领域的监管远比汽车行业稀薄。

安全行业视角(某种程度的欢迎):Mythos正在做的,是安全研究员一直梦想能自动化的事情——大规模漏洞扫描。整个安全行业的人员一直严重不足:全球网络安全岗位缺口估计在数百万人以上,而漏洞的数量远超人力可以处理的范围。如果AI能够大幅加速这个发现和修复的过程,这从长期来看对整个数字基础设施的安全是有利的。问题只是过渡期的管理——如何确保发现的漏洞被负责任地处理,而不是在修复之前泄露给攻击者。

地缘政治视角(复杂):Amodei提到中国AI”6-12个月后”追上的预测,有几个值得追问的细节。这个预测基于什么?是Anthropic内部的技术评估,还是公开情报?如果是前者,Anthropic是否有足够的信息来做出这个判断?

更重要的是:Amodei说这话的场合是金融服务发布会,面对的受众是企业客户——在这个语境下,”中国6-12个月追上”既是真实的安全担忧,也是非常有力的销售论点(快来用我们的产品,在窗口关闭之前修复你们的系统)。这两者同时为真,但不能互相否定。

还有一个更深层的问题:如果这个”危险窗口”的叙事是正确的,那么它不只适用于网络安全漏洞,也适用于Mythos能够做的其他危险的事情。Amodei提到,Anthropic正是因为对Mythos能力的担忧,才将其访问限制在少数合作伙伴。这种能力限制是在争取时间——为制度建设争取时间,为安全社区发展出应对措施争取时间。但这同时意味着:Anthropic是在单方面决定全球数字基础设施安全的节奏,而这种决定权是否应该由一家私人公司独自掌握,是一个没有被公开讨论的重大问题。

Dimon的补充:这是一个”过渡期”,但过渡期不代表安全

值得记录的是,摩根大通CEO Jamie Dimon在同一场合对这个安全问题的回应,某种程度上代表了大型企业客户的典型反应。

他承认了Amodei描述的网络安全风险是”合理的”,然后把它定义为一个”过渡期”——言下之意,最终AI也会把防御端发展到足以应对它自己创造的威胁的水平。这是一个技术上可能成立的预测,也是从历史来看有一定支撑的乐观主义。问题在于:它回避了”过渡期”本身的成本。

银行在过渡期里并不会停止运营,医院在过渡期里也不会关闭,能源基础设施在过渡期里依然向家庭和工厂供电。”这是过渡期”是一个描述,不是一个解决方案。更重要的是,过渡期的长度和代价,很大程度上取决于我们在今天选择做什么——投入多少资源在修复上,建立什么样的协调机制,是否愿意为了安全而承担短期的成本和不便。

Dimon管理着摩根大通,这家银行的网络安全预算以数十亿美元计算,有几千名专职安全人员。他对”过渡期”的乐观,部分是建立在”我们有资源度过这个过渡期”的信心之上的。对于没有这种资源的机构——社区医院、地方政府、中小企业——过渡期的感受会非常不同。

我们能做什么

对于个人和组织来说,Amodei的警告有几个具体的行动含义:

更新软件是最基础的防线。大量未修复的漏洞之所以危险,是因为用户没有安装厂商发布的补丁。自动更新、强制补丁管理策略,是降低暴露面最直接的方式。在6-12个月的窗口里,每一个安装更新的系统都减少了攻击面。这听起来像是”大家都知道的常识”,但全球仍有相当大比例的系统在运行多年未更新的软件版本——这正是为什么即便是已经公开披露的老漏洞,依然能够被反复利用。

关键基础设施需要特殊对待。医院的医疗设备、工厂的工控系统(SCADA系统)、银行的核心交易处理、电网的远程控制系统——这些通常是更新最慢的系统,但也是漏洞利用后果最严重的系统。2021年的SolarWinds供应链攻击影响了包括美国多个政府机构在内的数千家组织,2022年的Log4Shell漏洞存在于全球数亿个系统中,等待修复耗费了数月时间。这些历史事件说明:即使是单个已知漏洞,修复的难度和时间成本都是巨大的。当我们谈论数万个漏洞时,这个挑战的规模超出了常规想象。

安全团队需要AI工具来应对AI能力的攻击端。如果攻击者最终会拥有同等AI扫描能力,那么防御端也需要AI工具来保持对等。安全行业正在快速采用AI辅助的漏洞扫描、威胁检测和自动化响应,但部署速度参差不齐。大型银行和科技公司已经在广泛使用AI安全工具,但大量中小型企业和公共机构还没有。这个能力差距在攻击端AI能力扩散之后,将直接转化为安全差距。

软件供应链安全是最薄弱的环节。Mythos发现的很多漏洞可能存在于开源软件库、第三方组件、上游依赖中——而这些代码被嵌入在数以万计的其他软件里。修复一个上游漏洞,需要所有下游软件都更新;而很多组织甚至不清楚他们的软件系统里包含哪些第三方依赖。软件物料清单(SBOM)在美国已经通过行政命令开始推行,但全球范围内的采用率依然很低。这个窗口期,也是加速SBOM部署的关键时机。

国际协作的可能性与局限。如果Mythos发现了影响全球基础设施的漏洞,理想情况下应该有一个国际协作机制来处理这类信息——类似于国际原子能机构(IAEA)处理核安全事故的方式,或者全球卫生组织(WHO)协调流行病应对的方式。但目前不存在这样的机构。美国的CISA(网络安全和基础设施安全局)是美国境内的协调机构,欧盟有ENISA,各国有自己的网络安全部门。在没有统一国际协调机制的情况下,Anthropic这样的私人公司实际上在扮演一个没有法律授权、没有问责机制、却拥有极大权力的角色。

AI发现漏洞和AI修复漏洞:这是同一枚硬币的两面

这里有一个关于AI能力的更深层洞察,Amodei没有明说,但值得我们注意。

Mythos之所以能发现数万个漏洞,是因为它具备深度代码理解和推理能力——它能够像一个顶级安全研究员那样,分析代码逻辑、识别边界条件、推断潜在的攻击路径。这种能力是双向的:同样的能力,既可以用来发现漏洞,也可以用来修复漏洞,还可以用来生成利用这些漏洞的攻击代码。

这就是为什么Anthropic对Mythos的访问控制是如此重要。一旦这种能力扩散到没有安全约束的行为者手中,”发现漏洞”和”利用漏洞”之间的屏障就消失了。目前,我们处于一个奇特的状态:拥有这种能力的公司选择用它来防御,而不是攻击。这种选择是道德的,但它依赖于商业激励和企业文化,而不是技术约束。技术上,这种能力可以被用于任何方向。

从这个角度看,6-12个月不只是一个修复漏洞的窗口,也是一个构建制度约束的窗口——在这种AI安全能力变得更加普遍之前,建立起足够强健的规范、监管框架和国际协议,让”使用AI发现漏洞”成为一种被管理的活动,而不是任何人都可以不受约束地进行的事情。

结语

“有些漏洞是有限的,”Amodei说,”只要我们应对得当,在这个危险时刻的另一边,我们可以拥有一个更好的世界。”

这是一个有条件的乐观。条件是:我们在6-12个月里做对了足够多的事情。

Mythos找到漏洞的速度,已经远远超过了安全团队修复漏洞的速度。这个差距在AI能力提升的过程中只会继续扩大——直到防御端的AI工具也达到足够的水平,让修复速度追上发现速度。我们现在处于那个差距最危险的区间:攻击端的AI能力已经大规模领先,防御端的AI工具和制度框架还在追赶。

6-12个月,数万个漏洞,全球基础设施,一个私人公司掌握着数据库,没有国际协调机制,没有清晰的信息披露义务,没有明确的问责机制。

这不是科幻小说,这是今天正在发生的事情。而Amodei在一个金融服务发布会上,用10分钟提出了这个问题,然后继续介绍Anthropic的新金融AI产品。

这两件事都是真实的,它们并不矛盾。这正是AI时代最令人迷惑的地方:我们所能做的最危险的事情,和我们认为最有价值的事情,往往来自同一个地方。

参考资料:

  1. CNBC, “Anthropic CEO warns of cyber ‘moment of danger’ as AI exposes thousands of vulnerabilities”, 2026-05-05: https://www.cnbc.com/2026/05/05/anthropic-ceo-cyber-moment-of-danger-mythos-vulnerabilities.html
  2. Anthropic, “The Briefing: Financial Services”, 2026-05-05: https://www.anthropic.com/events/the-briefing-financial-services-virtual-event