文章总结： 文章反驳了媒体对Anthropic模型Mythos网络安全风险的过度渲染，基于1000次真实渗透测试数据指出攻击效果的核心制约因素是系统上下文而非模型能力。防御方因拥有源代码和运行时上下文而保持优势，建议组织加强依赖关系可视化与内部逻辑监控，而非盲目恐慌AI带来的威胁。 综合评分： 85 文章分类： AI安全,漏洞分析,渗透测试,威胁情报,安全建设

围绕Mythos的网络安全末日论言过其实了

幻泉之洲

2026年4月11日 15:00 北京

在小说阅读器读本章

去阅读

关于Anthropic最新AI模型Mythos的网络安全风险，媒体几乎一边倒地唱衰。但来自真实世界1000次AI渗透测试的数据给出了不同答案：攻击效果真正的制约因素是“上下文”，而非模型能力。而在这方面，守方依然握有明显优势。问题是，他们能善用这个优势吗？

最近，关于Anthropic最新模型Mythos的报道，几乎全都集中在一个点上：它对攻击者能有多大帮助。

《财富》杂志搞到了一份泄露的博客草稿[1]，里面说这个模型能够“以前所未有的程度超越防御者的努力来利用漏洞”。话说到这份上，Anthropic自己都表示要谨慎行事，准备先好好理解一下模型在网络安全领域的“近期风险”，再做下一步打算。

接下来的戏码大家都能猜到。“AI即将降临的网络安全噩梦”[2]，安全厂商纷纷警告网络攻击的门槛将被大大降低，人们普遍接受“攻防天平已经倾斜”的论调。

听起来挺吓人，对吧？

单看表面，确实吓人。但这天秤可没倾。这种末日预言的底层逻辑，是假设模型能力会直接转化为攻击者的优势。我们手里的数据却说：不见得。

Mythos叙事背后的假设

我们不否认，AI模型肯定会加快攻击工作流。但这个效果能发挥多少，极度依赖于深度的系统上下文——而这恰恰是攻击者最缺的东西。

媒体赋予Mythos这类模型的网络安全能力，与AI系统已经在受控的安全测试环境里做的事情高度重叠：漏洞发现、代码推理、多步骤攻击。我们自己实操过1000次真实的AI渗透测试，这让我们能看清在不同条件下，它的表现怎么变化。

模式很一致。在“白盒测试”中，我们有目标应用程序的源代码，结果发现的关键和高危问题是“灰盒测试”（仅有有限源代码访问权限）的7倍，而且运行效率大概是灰盒的2倍。这说明什么？AI的有效性高度依赖于上下文，不是光看它有多能。

实际上，这个上下文是静态分析和动态分析相结合才能得到的。单独看代码或者行为，都只能看到一个片面的视图。当两个系统都工作时，AI能将被书写的代码和它在执行时的行为联系起来，发现的深度就完全不同了。整个经济账也跟着变。你需要更少的尝试次数（也就是更少的计算成本）就能发现有意义的问题。

目前关于Mythos的讨论，都默认攻击者会从最新的前沿模型中获益更大。但现实是，他们没有考虑到，攻击者才是那个上下文信息有限的一方。他们在从外部推断系统细节，而防御者早已知道自家系统到底是怎么跑的。

真正的制约是上下文，不是能力

大家似乎特别看重模型开发者自己怎么描述其能力。比如之前Anthropic声称Claude Opus 4.6在开源库中发现了500多个高危漏洞[3]时，也引起过一阵轰动。这些说法展示了模型在理想条件下能做什么。但很少有人谈论，如果缺少完整的系统可见性，性能会打多少折扣。

这里的主要变量就是上下文。能不能访问源代码和内部应用逻辑，决定了测试代理能有效评估什么东西。光有能力出不来成果。没有足够的静态和动态代码上下文，就算是最先进的模型，因为对正在探测的系统理解不完整，其表现也可能比不过轻量级的开源模型。

举个最近的例子，Axios库被入侵的事件[4]。Axios是NPM仓库里使用最广泛的包之一。这次攻击压根没改源代码。攻击者劫持了一个维护者账户，添加了一个新的依赖项，然后发布了一个更新。攻击之所以成功，是因为没有已知的CVE可以匹配，没有恶意代码模式可以标记，没有扫描仪可以捕捉的签名。链条上的每一个工具都因为缺乏上下文，而无法看清到底发生了什么变化。

一个对其依赖关系树有深度可视化的组织[5]——不仅仅知道它用了哪些包，还知道这些包是干什么的、行为模式如何、合法的更新应该长什么样[6]——就有理由对这个变更提出质疑。但如果没有这些上下文，攻击速度再快、模型能力再强也都没用。

这就是为什么当前“AI更利好攻击者”的说法跑偏了。这也是AI驱动测试的方法开始产生分歧的地方。如果可以获取跨越代码和运行时行为的完整上下文，这些拥有特权的智能工具就能识别出表面测试根本无法触及的问题。

当然，上述一切都并不意味着防御者在代码和运行时可视化方面的上下文优势是永恒的。AI当然也会降低获取上下文的成本；但当前的舆论叙事暗示天秤一夜之间就倾斜了。构建真正的系统理解是一件缓慢、复杂的工作。虽然AI模型将越来越能够推断出某些方面的上下文，但它们永远无法媲美那种清晰的洞察力——那种来自能够访问实际源代码、API和应用程序凭据/令牌，并能够快速解析组织内部跨应用程序组件、微服务和集成的内部业务逻辑而产生的洞察力。

别被“末日论”带偏了节奏

回过头看，这一切可能听起来显而易见，尤其是在安全领域热衷于发布各种末日论的背景下。但有时候，我们确实需要更仔细地审视摆在我们面前的东西，去认真考虑实际影响。

普遍的论调是，新的AI模型将极大地颠覆攻防平衡。这话在某种程度上是对的。AI将给攻击者带来速度、广度和能力上的提升，而那些防御应用程序、系统和基础设施的人将感受到其不利影响。

但微妙之处在于，有效性主要取决于上下文，而上下文的分布是极不均匀的。幸运的是，砝码偏向于防御者这一边。所以，当攻击者可能从Mythos、Capybara等新兴前沿AI模型中率先获益时，防御者早已对自己代码的实际运作方式拥有更深层次的、结构性的知识优势。

AI正在让应用程序安全上下文变得比以往任何时候都更有价值。真正的问题是：防御者会善用他们已经握在手里的优势吗？

参考资料

[1] https://fortune.com/2026/02/06/anthropic-claude-ai-model-cybersecurity-security-vulnerabilities-risks/

[2] https://www.axios.com/2026/03/29/claude-mythos-anthropic-cyberattack-ai-agents

[3] https://www.aikido.dev/blog/claude-opus-4-6-500-vulnerabilities-software-security

[4] https://www.aikido.dev/blog/axios-npm-compromised-maintainer-hijacked-rat

[5] https://www.aikido.dev/blog/without-dependency-graph-blind-to-vulnerabilities

[6] https://www.aikido.dev/blog/breaking-changes

[7] https://www.aikido.dev/blog/anthropic-mythos-cybersecurity-risks-overblown

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《围绕Mythos的网络安全末日论言过其实了》