文章总结： 2026年4月21日Bloomberg披露，Anthropic的ClaudeMythosPreview模型在4月7日发布当天遭未授权访问。涉事群体通过第三方承包商环境凭证，结合对模型URL命名规律的猜测获得访问权。事件暴露前沿模型高威力与分布式分发模式下的供应链安全脆弱性，促使各参与方重新评估访问控制机制。 综合评分： 85 文章分类： 供应链安全,漏洞预警,数据安全,云安全,安全运营

一家「私人频道」在 Mythos 发布当天就拿到了访问权

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年4月22日 13:49 湖北

在小说阅读器读本章

去阅读

长话短说

2026 年 4 月 21 日，Bloomberg 援引一名知情人士和其掌握的文档披露，一个活跃于私人在线论坛的小群体在 Anthropic 4 月 7 日宣布 Claude Mythos Preview 的同一天，通过一家为 Anthropic 服务的第三方承包商环境获得了该模型的访问权，并向 Bloomberg 提供了截图与实机演示作为佐证。Anthropic 向多家媒体确认正在调查，但声明其自有系统未被影响。

这次事件在技术面上大概率不是对 Anthropic 核心网络的入侵，而是典型的第三方环境访问滥用——用承包商员工可及的访问权，加上对 Anthropic 模型命名格式规律的「猜测」，叩开了预览通道。真正值得关注的不是单次访问本身，而是 Anthropic 把 Mythos 定义为「能够支持危险网络攻击」的前沿模型、又同时采用「限量放给多家大厂 + 40 家额外机构 + 供应商链路」的部署模式——这种「高威力 + 分布式分发」的组合在供应链安全上本就脆弱。

主要影响：对 Anthropic 自身是定位在「可控预览」的叙事受损；对 Project Glasswing 生态的所有参与方（Apple、AWS、Google、Microsoft、Cisco、CrowdStrike、JPMorgan 等）和超过 40 家关键基础设施机构而言，都意味着需要重新评估各自侧的访问控制；对整个前沿模型分发机制，这是第一个进入主流视线的「具名」前沿模型访问滥用事件。

事件概述

2026 年 4 月 7 日，Anthropic 公开发布了 Claude Mythos Preview，并同步推出 Project Glasswing 计划。依据 Anthropic 官方博客，Mythos Preview 是一款尚未向公众开放的前沿模型，在代码与网络安全任务上表现突出，已被用于发现操作系统和主流浏览器中的数千个高危漏洞；出于扩散风险考量，Anthropic 选择不做公开发布，而是提供给 AWS、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks 等 12 家启动伙伴，以及另外 40 余家负责关键软件基础设施的机构。Anthropic 并承诺提供高达 1 亿美元的使用额度，以及向开源安全机构的 400 万美元直接捐赠。

4 月 21 日，Bloomberg 发布报道《Anthropic’s Mythos Model Is Being Accessed by Unauthorized Users》，描述一个在私人在线论坛中活动的小群体在 Mythos 发布当天便拿到了访问权。

Anthropic 发言人就此事对多家媒体给出的回应一致：「我们正在调查一起声称通过我们的某个第三方供应商环境对 Claude Mythos Preview 进行未授权访问的报告。」并补充表示，目前没有证据显示 Anthropic 系统受到影响。

技术链还原

入口：第三方承包商环境。Bloomberg 原报道指出，该群体尝试了多种策略，其中一种是借助「一名受访者」——该人目前受雇于一家为 Anthropic 工作的第三方承包商——所拥有的访问权。Prism News 的表述更明确：「使用一名受访者所拥有的凭证，这个人在一家第三方承包商工作」。

定位：对模型 URL 命名格式的猜测。多家报道引述 Bloomberg 的描述：该群体「根据 Anthropic 其他模型所使用的格式规律，对模型的在线位置做出了猜测」。

维持访问：群体在获得访问后「定期使用」Mythos，向 Bloomberg 提供了截图与实机演示。用途按 Bloomberg 知情人士表述「不是为了网络安全目的」，该人士并向 Bloomberg 表示：「有兴趣把玩新模型，不是为了制造麻烦」。

研判：从公开描述反推，这是一种常见的供应链弱环滥用模式——不是攻破 Anthropic 的核心系统，而是在合作伙伴/承包商侧拿到访问凭证或会话，加上对前沿模型上线路径的先验知识，完成接入。这一路径的关键前提是：第三方承包商的鉴权隔离未能做到「最小权限 + 短生命周期凭证」的程度。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《一家「私人频道」在 Mythos 发布当天就拿到了访问权》