Anthropic:Mythos Preview 已发现数千个高危漏洞,覆盖所有主流操作系统和浏览器
Anthropic 披露 Claude Mythos Preview 已在每个主流操作系统和网页浏览器中发现了数千个高严重性安全漏洞。
查看原文核心要点
2026 年 4 月 7 日,Anthropic 官方账号 @AnthropicAI 发布重大安全发现:其 Claude 系列模型(疑似代号 Mythos Preview 的新版本或特殊配置)已完成对全球主流操作系统和网页浏览器的系统性安全审计,结果显示已在这些平台中发现了**数千个高严重性(High Severity)安全漏洞**。这一发现覆盖了所有主流操作系统(包括 Windows、macOS、Linux 等)及主流浏览器(如 Chrome、Edge、Firefox 等),意味着全球数十亿设备的核心软件层均存在已被识别但尚未被广泛修复的安全隐患。此消息由 Anthropic 主动披露,时间节点恰逢 AI 安全研究热度持续攀升,具有极高的行业震动效应。
原文 + 中文翻译
由于 Anthropic 原推文(Tweet ID: 2041578403686498506)仅提供了摘要层面的信息(发布于 X 平台),具体技术细节和漏洞分布数据尚未在单条推文中完整呈现。以下基于其披露的核心声明:
原文: "Anthropic's Claude Mythos Preview has already identified thousands of high-severity security vulnerabilities across every major operating system and web browser."
翻译: "Anthropic 的 Claude Mythos Preview 已经(在大规模安全审计中)识别出了覆盖所有主流操作系统和网页浏览器的数千个高严重性安全漏洞。"
根据 Anthropic 公开信息,该发现由 Claude Mythos Preview 在自动化漏洞扫描与代码审计任务中产出。Anthropic 表示,这一工作是其 AI 安全研究计划(可能对应其 Constitution AI 框架下的「AI 对齐与安全研究」)的一部分,旨在通过大模型能力系统性探测现有软件生态中的安全缺陷。
深度解读
一、大模型从「攻击辅助工具」到「漏洞挖掘引擎」的角色转变
长期以来,安全社区对大模型在网络攻防中的定位存在两种截然不同的看法:其一认为大模型会降低攻击门槛,成为黑客的「自动化工具」;其二认为大模型强大的代码理解与推理能力,更适合辅助安全研究员发现漏洞。此次 Anthropic 的披露,实质上为第二种观点提供了有力实证——Claude Mythos Preview 已能**规模化、系统化**地完成此前需要高级安全研究员耗费大量工时的代码审计工作。
传统漏洞挖掘依赖人工 fuzzing(模糊测试)、静态分析工具(如 IDA Pro/Ghidra)和资深安全研究员的经验积累,速度和覆盖率受到人力瓶颈限制。而 Claude Mythos Preview 在这一次审计中「覆盖所有主流操作系统和浏览器」并发现「数千个」漏洞,说明其具备了跨平台、多架构、大规模的漏洞扫描能力。这不是偶发性的单点突破,而是**可重复的工程化流程**。这一转变对安全行业的意义,不亚于当年自动化扫描工具(如 Nessus)取代手工渗透测试的变革——只不过这一次的主角是 AI Agent。
二、对全球软件供应链安全的冲击波
数千个高严重性漏洞同时存在于主流操作系统和浏览器中,这一数字本身就需要解读。高严重性(High Severity)通常对应 CVSS 评分 7.0-8.9,意味着这些漏洞在被利用后可能导致权限提升、敏感数据泄露或远程代码执行(RCE)。若这些漏洞真的遍布所有主流平台,其影响将不限于单一厂商,而是整个软件供应链的系统性风险。
关键问题在于:Anthropic 是否已向相关厂商通报?漏洞是否已被修复? 从时间节点看,2026 年 4 月 7 日的发布距漏洞发现之间可能存在一段负责任披露(Responsible Disclosure)窗口期。如果 Anthropic 已走完通知流程,那么操作系统厂商和浏览器开发商此刻可能正在紧急修补,预计在未来 30-90 天内会有一波密集的安全更新。这对全球企业 IT 管理员和普通用户均构成直接挑战——补丁管理将成为接下来数月内的重中之重。
三、Anthropic 的战略意图:安全研究还是市场信号?
从商业竞争角度审视这一发布:Anthropic 此前在安全能力上的宣传相对克制,而 OpenAI 的 ChatGPT 在代码辅助和漏洞检测领域已有大量用户案例。此次高调宣布 Claude Mythos Preview 发现了「所有主流平台」的漏洞,本质上是一种**能力展示(Capability Demonstration)**——向企业市场证明 Claude 在安全场景下的实际效用,从而在 AI 安全产品(如 AI-driven Security Operations Center / AI-SOC)赛道中争夺先发优势。
「Mythos Preview」这一代号本身也值得关注。Anthropic 此前已有 Claude 3.5 Sonnet / 3.7 等公开版本,而「Mythos」可能指向代号为「Mythic」或「Mythos」的特殊推理架构,或类似于 OpenAI 的「o1/o3」推理模型系列的早期预览版本。如果这一模型专门针对安全研究进行了 RLHF(人类反馈强化学习)微调,则意味着 Anthropic 正在开辟一条**垂直领域专用模型**的产品路线,与 Google 的 Project Zero 安全研究、微软的 Security Copilot 形成正面竞争。
四、与行业大趋势的共振
2025 年至 2026 年初,AI 安全研究已进入加速期:Google Project Zero 已将大模型引入漏洞归因流程;微软推出基于 GPT-4 的 Security Copilot;MITRE 也开始探讨 AI 在 ATT&CK 框架更新中的应用。Anthropic 此次发现数千个漏洞的规模,在数量级上超过了多数安全厂商的单次审计报告(如微软 2024 年全年共报告约 1,200 个 CVE),这意味着 AI 在漏洞发现效率上已显著超越传统方法。然而,这也带来一个悖论:当 AI 能够如此高效地找到漏洞时,**谁有权力决定哪些漏洞被公开、何时被修复?** 这涉及到 AI 安全研究的治理问题,将成为监管部门和安全社区必须直面的新议题。
值得关注
- 厂商响应与补丁时间线: 关注微软(Windows)、Apple(macOS/iOS)、Google(Android/Chrome)、Mozilla(Firefox)、Canonical(Ubuntu/Linux)等厂商在未来 30-60 天内是否发布对应的高危漏洞修复补丁。若 Anthropic 已完成负责任披露,补丁集中释放的时间窗口将非常明确。
- Mythos Preview 模型的技术规格: 关注 Anthropic 是否会发布该模型的完整技术报告或 API 接口说明。如果该模型被企业客户用于自动化代码审计,将直接改写 DevSecOps 工具链的竞争格局。
- CVE 编号公开进展: 数千个漏洞不会一夜之间全部分配 CVE,但 National Vulnerability Database(NVD)和 MITRE 将在未来数月内逐步披露。建议监控 cve.mitre.org,关注高严重性漏洞的集中披露期。
- 监管层面的介入: 如果这批漏洞的利用门槛较低(如已存在公开 PoC),CISA(美国网络安全与基础设施安全局)和 NIST 可能将其纳入已知被利用漏洞目录(KEV Catalog),并要求联邦机构在规定时间内修补。
- 竞争对手的跟进: 关注 OpenAI、DeepMind、Google 安全性团队是否公布类似规模的安全研究结果。AI 安全能力的军备竞赛正在从「发现漏洞数量」向「发现速度」和「漏洞严重性评估精度」演进。
信源行:
原文链接:https://x.com/AnthropicAI/status/2041578403686498506
背景报道:Anthropic 安全研究官方页面;NIST National Vulnerability Database(NVD);The Hacker News 关于 AI 辅助漏洞发现的持续报道(thehackernews.com)
延伸参考:MITRE ATT&CK 框架中关于自动化漏洞利用的最新讨论;CISA Known Exploited Vulnerabilities Catalog(cisa.gov)