Claude Mythos Preview 炸了整个安全圈：AI 首次大规模自主挖零日，Project Glasswing 十巨头结盟，「漏洞末日」正式倒计时

大方说：2026 年 4 月的 AI 圈被一家公司搅得天翻地覆——不是 OpenAI，不是 Google，是 Anthropic。他们发布的 Claude Mythos Preview 没有开放 API、没有开放权重，却让 AWS、Apple、Google、Microsoft、NVIDIA、摩根大通等十家全球巨头迅速结盟。到底发生了什么？

一、为什么这条新闻值得所有开发者停下手头的活看一遍

过去两年，我们习惯了这样的节奏：OpenAI 发模型、Anthropic 追性能、Google 开源 Gemma、中国实验室卷开源权重。所有人都在抢「能力」这条赛道。

4 月 7 日，Anthropic 官方发布 Claude Mythos Preview。根据 Anthropic red team 官方页面 的披露，这个模型做到了一件此前任何 AI 都没有做到的事：在没有人类指导的情况下，自主完成一整条攻击链——从零日漏洞发现、到漏洞武器化、到沙箱逃逸、到远程代码执行。

更让人寒意的是同步公布的 Project Glasswing：AWS、Apple、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks——十家代表美国科技、金融、云计算、终端设备的顶级公司联手。Anthropic 给出 1 亿美元使用额度，让它们用 Mythos 给自己的核心系统「先下手为强」地找漏洞、打补丁。

这不是一次普通的模型发布。这是一次防守方抢时间的自救行动。

二、Mythos 到底做到了什么：几个让人坐不住的事实

让我们把技术细节摊开看。根据 AISI（英国 AI 安全研究所）的独立评估和 Help Net Security 的测试报告：

事实 1：浏览器全链路利用。 Mythos 自主写出一个 web 浏览器 exploit，串联了 4 个漏洞，编写了复杂的 JIT heap spray，成功逃出渲染进程沙箱和 OS 沙箱。这条攻击链在成熟红队手里通常需要数周，Mythos 独立完成。

事实 2：本地权限提升。 在 Linux 等多个操作系统上，Mythos 自主利用微妙的竞态条件（race condition）和 KASLR-bypass 完成本地提权。这类漏洞的挖掘和稳定利用一直是安全研究的天花板工作。

事实 3：FreeBSD NFS 服务器 RCE。 Mythos 自主写出一个远程代码执行 exploit，通过将 20 个 gadget 的 ROP 链拆分到多个网络包中规避检测，对未认证用户授予完整 root 权限。对应的 CVE-2026-4747 被官方三级评定为「允许任意未认证攻击者在互联网任意位置获得服务器完整控制权」。

事实 4：规模化输出。 Mythos 在内部测试中自主发现了「数千个」跨主流操作系统和浏览器的零日漏洞。这里的关键词不是「数千」，而是「自主」——没有人告诉它往哪里看、用什么策略、如何组合原语。

把这几点连起来看：我们第一次拥有一个能在漏洞研究每个子领域都达到人类资深研究员水平、并且可以并行扩展的系统。

三、为什么 Anthropic 选择不开放

熟悉 Anthropic 的朋友都知道，他们从成立第一天就把「安全」挂在嘴上。但以往那种「边开源边打补丁」的玩法，这次彻底行不通了。

Claude Mythos Preview 不会公开发布，也不会上 Claude.ai 的常规订阅通道。访问渠道只有 Project Glasswing 的合作企业，Anthropic 承诺投入 1 亿美元使用额度，让这些巨头先把自己的核心软件、操作系统、浏览器、基础设施「查一遍」。

这个策略背后有三层逻辑：

一是时间窗口理论。Cloud Security Alliance 的简报里写得非常直白：过去漏洞从曝光到武器化利用平均需要数周，现在 AI 可以把这个窗口压缩到数小时。如果同样的 Mythos 级能力同时落到攻防双方，防守方是输定的——因为防守方需要一层层走审批、做测试、排覆盖面，攻击方只需要一条能跑的 PoC。

二是非对称扩散风险。模型权重一旦泄露，回收是不可能的。Anthropic 这次用「企业 API + 法律协议 + 额度限制」组合来降低扩散面，本质上是在下一个赌注：在 Mythos 级能力被恶意方复刻之前，把关键基础设施「加固」一遍。

三是商业模式转向。过去 Anthropic 靠模型订阅和 API 赚钱，Mythos 事实上开启了一条新的商业线：网络安全风险对冲服务。对于 JPMorgan 这样的金融巨头，1 亿美元只是零头——如果一次能把未来 3 年的核心系统风险压缩一个数量级，这笔买卖太划算。

四、「漏洞末日」不是危言耸听，是防御产业的重构信号

NBC News 用 “Vulnpocalypse”（漏洞末日）来形容这场变化。听起来像科技媒体的博眼球标题，但从行业侧的反应看，这个词并不夸张：

• 网络安全板块股票在消息披露后集体下跌。因为传统「签名扫描 + CVE 库 + 补丁管理」的防御范式正在被颠覆。当 AI 可以大规模挖 0-day 时，「已知漏洞库」这个概念本身就变得廉价。
• CISA 和多个国家 CERT 正在重新评估漏洞披露流程。以前 90 天的协调披露窗口对人类研究员是合理的，对 Mythos 级 AI 来说，90 天等于把全网送人。
• 开源社区的反应最复杂。Linux Foundation 加入 Glasswing 是明确信号——纯开源路线在 AI 攻防时代会被彻底放大的审计成本压垮，即使是最严谨的项目也无法独立承担。

换句话说：这不是一次新模型发布，这是防御产业被迫重构的起点。

五、一个独立开发者应该做什么

写这篇文章不是为了传播焦虑。作为一个每天在用 AI 写代码、做项目、运营一人公司的开发者，我更关心的是：我们这些没有 Glasswing 席位的人，应该怎么办？

我自己这两天的几个动作，分享一下：

动作 1：把「攻击面」这件事写进每个项目的启动清单。 新项目启动前，至少问自己三个问题：我暴露了哪些公网端点？我依赖的开源组件有哪些在 3 年内未更新？我的秘钥存储是不是和生产同环境？以前这是安全团队的工作，今天每个独立开发者都要自问。

动作 2：把自动化补丁管线从「可选」变成「默认」。 比如用 Dependabot、Renovate 给依赖升级加自动 PR；生产服务用托管平台（Vercel、Railway、Cloudflare）而不是自建 VPS；敏感凭据全部上托管 Secret Manager。这些工作过去优先级不高，现在必须往前排。

动作 3：学会看漏洞情报，不要等补丁推送。 国内开发者习惯「有问题用户报」，这个心态必须改。现在每天花 10 分钟扫一眼 CVE、GitHub Security Advisory、云厂商安全公告，是「新常态」。

动作 4：警惕 AI 辅助开发中的安全债。 过去半年我用 Claude Code、Cursor 写了大量代码，速度飞起。但 AI 给出的代码在安全性上天然有偏差：它会默认信任用户输入、会选择「能跑就行」的实现、会把硬编码秘钥写在注释里等你发现。从今天起，每次 AI 生成的代码进仓库前，「安全审阅」应该和「功能审阅」并列。

六、结语：真正的 AGI 时刻，不是写诗，是自主闯入

我们习惯用「AGI 到了吗」来衡量 AI 进展。但在绝大多数日常任务上（写代码、做 PPT、写文案），AGI 感已经很强了。

Claude Mythos Preview 让我开始重新思考这个问题。一个 AI 能自主完成从「发现一个 OS 级零日」到「写出武器化 ROP 链绕过沙箱」的全链路——这种能力一旦出现，它的影响不是「提升效率 10%」，而是「改写某个产业的游戏规则」。

Anthropic 选择把这种能力先交给防守方，是一个相对克制的决策。但时间非常紧张——模型权重会泄露、能力会被复刻、竞争对手会训练对应等级的模型。Project Glasswing 的十家公司有没有用好这 1 亿美元额度，可能决定了未来 2-3 年我们每个人的数字生活是更安全了，还是更脆弱了。

而对我们这些独立开发者来说，最确定的只有一件事：把安全从后置加分项，变成项目的第一性原则。

---

我是大方，一个正在做一人公司的资深开发者。每天关注 AI 领域的深度进展，分享对独立开发者有用的思考。欢迎关注。

参考资料：

• Anthropic 官方 Red Team 页面（Claude Mythos Preview）
• AISI（英国 AI 安全研究所）独立评估报告
• Help Net Security 对 Mythos 攻击能力和边界的测试
• NBC News: “Vulnpocalypse” 深度报道
• Cloud Security Alliance 行业简报