文章总结： ClaudeMythosPreviewAI模型在数周内发现数千个零日漏洞，包括FreeBSDNFS服务器存在17年的远程代码执行漏洞，并自主编写完整利用链。Anthropic联合12家科技巨头启动’玻璃翼计划’限制其公开，引发AI安全能力双面性讨论。文章建议安全从业者建立人机协作思维、规范AI工具使用、关注安全标准并保持威胁敏感度。 综合评分： 78 文章分类： AI安全,漏洞分析,安全建设,威胁情报,应急响应

【安全警示】Claude Mythos隐藏能力曝光：AI发现零日漏洞的震撼一周

原创

我真tm厉害 我真tm厉害

黑客茶话会

2026年4月10日 14:07 山东

在小说阅读器读本章

去阅读

【安全警示】Claude Mythos隐藏能力曝光： AI发现零日漏洞的震撼一周

作者：茶话君 | 2026年4月10日

一个尚未正式发布的AI模型，在短短数周内发现了数千个零日漏洞，甚至自主编写了完整利用链。当AI的安全能力超越人类，安全界的游戏规则正在被彻底改写。

一、事件始末：Mythos Preview为何让硅谷颤抖？

2026年4月7日，Anthropic正式发布了Claude Mythos Preview——一个被官方称为”我们迄今构建的最强大模型”的前沿通用模型。这本该是一场普通的发布会，但随后泄露的技术细节却在24小时内震动了整个科技圈。

根据技术报告，Mythos Preview在数周内发现了数千个覆盖所有主流操作系统和软件的高危漏洞，其中一个案例尤其引人注目——它完全自主地发现了FreeBSD NFS服务器中一个存在整整17年的远程代码执行漏洞（CVE-2026-4747）。

CVE-2026-4747是FreeBSD内核中RPCSEC_GSS模块的一个栈缓冲区溢出漏洞。攻击者可以通过网络发送精心构造的NFS请求，触发内核中int32_t[]数组的越界写入。Mythos不仅发现了这个漏洞，还自主编写了完整的利用代码：通过栈溢出实现ROP链注入，采用15轮数据包传输shellcode，最终在无需KASLR（内核地址空间布局随机化）绕过的情况下实现远程内核RCE，将攻击者的SSH公钥追加到root目录。

面对如此强大的安全能力，Anthropic却宣布了一个让业界哗然的决定：暂不向公众开放Mythos。取而代之的是，这家公司联合AWS、Apple、Microsoft、Google、NVIDIA、Cisco、CrowdStrike、Fortinet等12家科技巨头启动了”玻璃翼计划”（Project Glasswing），仅通过闭源合作的方式向经过筛选的40多家机构提供服务，目标是在AI时代建立持久的网络安全防御优势。

二、潘多拉魔盒：AI安全能力的双面性

Claude Mythos的亮相，将一个困扰安全界多年的伦理难题摆上了台面：当AI能够发现漏洞、利用漏洞、编写攻击代码——这些能力究竟应该向谁开放？

从正面看，Mythos展示的能力堪称安全团队的”梦幻助手”。传统安全研究人员需要花费数周甚至数月才能追踪到的漏洞，Mythos可以在数小时内完成发现和验证。更重要的是，它能够自主生成修复建议，将”发现-分析-修复”的周期从数月压缩到数天。

但硬币的另一面同样令人忧虑。安全公司Trail of Bits的首席技术官指出：”如果这种能力被武器化，攻击者可以在数分钟内完成过去需要专业团队数周才能完成的工作。零日漏洞的价值将急剧贬值，但这恰恰是最危险的时刻——当所有人都能发动高级攻击时，防御的门槛却在不断提高。”

三、连锁反应：全球AI安全格局重塑

Mythos的曝光并非孤立事件。回顾过去一周，AI安全领域接连爆出多个重磅消息，多条线索正在交汇成一场深刻改变行业格局的风暴。

苹果iOS遭遇零日漏洞危机。就在Mythos发布的同一天，工信部网络安全威胁和漏洞信息共享平台（NVDB）发布紧急预警：境外黑客组织正在利用苹果iOS系统的高危零日漏洞开展大规模定向攻击，国内数亿苹果用户面临敏感信息窃取和设备被远程控制的风险。这一预警与Mythos的能力展示形成了诡异的呼应——当国家级黑客组织正在利用漏洞发动攻击时，能够发现这些漏洞的AI却选择”闭关锁国”。

AI智能体成新型攻击面。开源AI智能体框架OpenClaw被曝存在CVE-2026-25253高危漏洞，攻击者仅需诱导用户点击恶意链接，即可窃取认证令牌并接管整个实例。工信部NVDB于2026年2月发出预警，全球超过25万个运行中的OpenClaw实例面临”一键沦陷”的风险。更值得警惕的是，这并非个例——从OpenManus到Moltbot，多个主流AI智能体框架都在近期被披露存在严重安全缺陷。

四、深层追问：我们是否正在失去对AI的控制？

当Anthropic选择将Mythos”藏起来”，行业观察者开始追问：这究竟是负责任的谨慎，还是对AI安全失控的无奈之举？

回顾AI安全领域的过往案例，类似的情形并非没有先例。2026年初，国家安全部披露了多起因开发者和企业不当使用AI工具导致的敏感信息泄露事件——某科技公司的核心代码、某金融机构的客户数据、某政府部门的内部文件，都因为员工将敏感内容输入AI工具而遭到泄露。这些案例揭示了一个根本性问题：AI工具的普及速度远超我们建立有效管控框架的能力。

与此同时，我国人工智能安全标准体系的构建正在加速。据新华社报道，全国网络安全标准化技术委员会正在牵头制定AI安全国家标准，涵盖模型安全、数据安全、应用安全等多个维度。玻璃翼计划的启动也被视为行业自发协作应对AI安全风险的重要尝试。

五、行动建议：安全从业者的应对之策

面对AI带来的安全范式转移，安全从业者需要重新思考自己的定位和能力边界。

第一，建立”人机协作”的新思维。AI发现漏洞的能力已经超越个体研究人员，但如何评估漏洞的实际威胁、如何设计修复方案、如何应对新型攻击模式——这些仍需要人类的专业判断。将AI视为”超级助手”而非”替代者”，或许是更务实的定位。

第二，重新审视AI工具的使用边界。Claude Mythos的能力再次证明，AI在安全领域是一把真正的”双刃剑”。企业和个人都应建立明确的AI工具使用规范，特别是涉及漏洞信息、攻击代码、敏感数据的场景。

第三，关注AI安全的标准与合规。随着监管框架的完善，合规将成为安全工作的重要组成部分。了解最新的AI安全标准、参与行业讨论、推动企业建立AI安全治理体系，应该成为每个安全从业者的必修课。

第四，保持对威胁态势的敏感度。苹果iOS漏洞和OpenClaw漏洞的案例表明，传统的”补丁修复”模式正在面临挑战。在AI时代，漏洞的发现和利用速度都在急剧提升，被动防御的窗口期越来越短。

结语

Claude Mythos的出现，或许标志着一个新的安全时代的开端。当AI能够发现人类无法察觉的漏洞，当防御和攻击的边界因AI而急剧模糊，我们正在踏入一个充满未知的领域。

正如一位资深安全研究员在看完Mythos技术报告后发出的感叹：”我们一直在讨论AI何时会超越人类在安全领域的能力。答案似乎是——它已经发生了。问题是，我们准备好了吗？”

这个问题没有标准答案。但可以确定的是，无论是AI研究者、安全从业者还是普通用户，都将在未来几年内被这场变革深刻改变。在AI重塑安全规则的今天，保持警惕、拥抱变化、积极参与，或许是我们唯一的选择。

💬 茶话君说

Claude Mythos的能力让人既兴奋又不安。兴奋的是，AI正在帮我们发现那些存在了十几年的”隐形漏洞”；不安的是，这种能力如果落入错误的手中，后果不堪设想。

说白了，现在的AI安全就像当年的核武器技术——有了不等于该用，但没它又万万不行。玻璃翼计划能不能成功？国产AI安全标准能不能落地？这些问题，可能比我们想象的更紧迫。

你在工作中有没有遇到过AI相关的安全问题？比如AI工具不小心泄露了敏感数据，或者接到了新型的AI攻击？评论区聊聊，点赞最高的留言，茶话君请你喝咖啡☕

如果这篇文章对你有帮助，转发给做安全的朋友，一起关注AI改变安全行业的每一个瞬间。关注「黑客茶话会」，AI安全的硬核解读，每周准时送达。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客茶话会 我真tm厉害 我真tm厉害《【安全警示】Claude Mythos隐藏能力曝光：AI发现零日漏洞的震撼一周》