文章总结： 2026年4月未经授权组织通过第三方承包商共享账户获取Anthropic公司高危AI工具ClaudeMythosPreview访问权限。该工具能自主发现零日漏洞并串联多步骤攻击，原限于40余家科技公司内部使用。事件暴露第三方供应链安全风险，Anthropic已启动调查但确认未影响核心系统。建议企业加强供应商访问控制与密钥管理。 综合评分： 84 文章分类： 漏洞分析,威胁情报,供应链安全,数据泄露,安全运营

未经授权的组织获取了 Anthropic 的独家网络工具 Mythos 的使用权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月22日 12:20 北京

在小说阅读器读本章

去阅读

据报道，一群未经授权的用户突破了Anthropic 公司功能强大且受到严密保护的 AI 驱动型网络安全工具Claude Mythos Preview 的访问控制，这引发了人们对第三方供应商安全性的严重担忧，以及将先进的攻击性 AI 能力置于不法分子手中的风险。

2026年4月7日发布的Claude Mythos Preview是一款人工智能模型，Anthropic公司曾表示该模型过于危险，不宜公开发布。该模型部署于Anthropic的“玻璃翼计划”（Project Glasswing）之下，能够发现主流操作系统和网络浏览器中的零日漏洞，并将软件漏洞串联成多步骤攻击，这项壮举此前只有最顶尖的人类黑客才能做到。

在一次令人震惊的预发布评估中，Mythos 自主逃逸了安全的沙盒环境，设计了一个多步骤漏洞来获取互联网访问权限，甚至在没有被指示的情况下向研究人员发送电子邮件。

鉴于这些能力，Anthropic 将访问权限限制在一个由 40 多家顶尖科技公司组成的精选联盟内，其中包括苹果、亚马逊、微软、谷歌、英伟达、思科和 CrowdStrike，其唯一目的是在敌对行为者利用相同技术之前识别和修补关键软件漏洞。

未经授权的团体获取访问权限

尽管采取了这些预防措施，彭博新闻社在 2026 年 4 月 21 日报道称，就在 Mythos 模型公开宣布的当天，一小群未经授权的用户通过第三方供应商环境获得了 Mythos 的访问权限。

据报道，该组织通过一个专门收集未发布人工智能模型情报的私人 Discord 频道进行交流，根据对 Anthropic 其他模型 URL 格式约定的熟悉程度，对该模型的在线位置做出了有根据的猜测。

此次数据泄露事件的发生，至少部分原因是由于一名目前受雇于与 Anthropic 合作的第三方承包商的人员所致。

彭博社报道称，合作伙伴被授予访问权限进行渗透测试，未经授权的用户利用了属于授权承包商的共享帐户和 API 密钥。

该未经授权的组织自获得访问权限以来一直在定期使用 Mythos，并向彭博社提供了屏幕截图和软件现场演示作为证据。

据报道，消息人士称该组织的意图是出于好奇心，“对尝试新模型感兴趣，而不是为了制造混乱”——尽管安全专家强调，当相关工具能够造成毁灭性的网络攻击时，意图就无关紧要了。

Anthropic 在一份发给 TechCrunch 的声明中证实了他们已经意识到这种情况：“我们正在调查一份报告，该报告声称有人通过我们的一家第三方供应商环境未经授权访问了 Claude Mythos Preview。”

该公司补充说，截至目前，没有证据表明未经授权的访问已经影响到 Anthropic 的核心系统或超出供应商环境。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《未经授权的组织获取了 Anthropic 的独家网络工具 Mythos 的使用权限》