文章总结： 文档指出AI技术如ClaudeMythos将引发漏洞海啸，既加速防御也提升攻击能力。TenableCEO提出五步应对方案：建立确定性资产发现体系、采用机器学习进行风险优先级过滤、通过攻击路径分析消除漏洞组合威胁、实施对抗性暴露验证红队演练、部署智能体AI实现自动化治理。核心结论是必须转向机器速度的暴露管理，传统安全方法已不足。 综合评分： 82 文章分类： 漏洞分析,安全建设,威胁情报,解决方案,AI安全

AI漏洞海啸来袭：五步构建Mythos-ready安全体系

bitbot bitbot

Desync InfoSec

2026年4月27日 13:22 北京

在小说阅读器读本章

去阅读

AI 正在以前所未有的规模发现漏洞，传统防御体系即将被淹没。当 Anthropic 的 Claude Mythos 等前沿模型将漏洞发现速度提升到”机器级别”时，安全团队该如何应对这场即将到来的漏洞海啸？Tenable CEO Steve Vintz 给出了五步行动指南。

────────────────

核心观点：AI 是双刃剑

Tenable 正在与 Anthropic、OpenAI 等 AI 领导者密切合作，将先进 AI 集成到 Tenable One 暴露管理平台中。在与这些前沿 AI 模型提供商的讨论中，一个事实已经清晰：这些模型是多层面的游戏规则改变者——它们能发现困扰人类研究人员数十年的开源代码和复杂企业环境中的漏洞。

然而，这带来了一个悖论。Claude Mythos 等模型在加速防御能力的同时，也同步升级了攻击者的能力——让他们能以机器速度发现和武器化漏洞。更严峻的是，这将带来数量级增长的漏洞披露，需要被优先排序和修复。

攻击面已经扩大——不再只是传统基础设施，还延伸到了 AI 本身的模型访问控制、身份权限和运营工作流。无论攻击利用的是 AI 发现的零日漏洞，还是直接针对 AI 训练管道，核心挑战都一样：你无法管理你看不到的东西，也无法防御你不优先处理的东西。

────────────────

第一步：建立持续、确定性的资产发现

你无法发现未被发现资产中的漏洞。组织必须部署确定性传感器（扫描器、代理、被动监控）来维护每个数字资产的实时清单。随着 AI 在全球企业中的快速普及，对所有 AI 资产（影子 AI 和正式批准的 AI）的可见性至关重要。

与前沿 AI 概率性质的不确定性不同，资产发现必须是确定性的。你需要一个可审计的网络资产记录，为合规和风险报告提供”真实基础”。

第二步：从传统优先级排序转向无情的风险过滤

随着 Mythos 驱动的漏洞发现，漏洞披露量预计将增长数个数量级。CVSS 或 EPSS 等标准工具只衡量理论严重性或概率，会让你的团队淹没在噪音中。

Mythos-ready 的方案是利用机器学习将”60% 严重”的洪流压缩到真正制造风险的 1.6%。通过将 AI 发现的漏洞与攻击路径和业务关键性交叉参考，确保团队修复的是真正通向核心资产的漏洞——包括 AI 模型本身。

第三步：通过攻击路径分析消除”有毒组合”

攻击者不会孤立地看漏洞——他们寻找的是一条路径。他们会将一个小软件缺陷、一个配置错误的云存储桶和一个过度的身份权限串联起来，直达目标。在 AI 时代，暴露管理的核心就是在对手之前识别这些“有毒组合”。

AI 基础设施的快速增长意味着每天都有新的攻击路径形成。配置不当的 AI 基础设施与传统 IT 基础设施的交汇处，会产生可被利用的强大弱点。使用攻击路径分析来可视化攻击者如何利用 AI 加速的漏洞突破边界并横向移动到 AI 训练数据或推理引擎。如果你关闭了路径，漏洞就变得无关紧要。

第四步：实施对抗性暴露验证（AEV）

当”提示词到漏洞利用”的窗口从数周压缩到数分钟时，理论安全已经死了。你必须实施对抗性暴露验证（AEV）——一个持续的自动化红队循环。

通过定期用 MITRE ATT&CK 框架挑战你的环境，你可以获得防御体系在 AI 速度漏洞利用下表现的证据。这是确保你的事件响应计划不仅仅是一份文档，而是经过验证的、能够抵御 Mythos 驱动入侵的盾牌的唯一方式。

第五步：用智能体 AI 治理 AI 暴露

世界上增长最快的风险面是 AI 基础设施本身：模型、训练管道和具有高级访问权限的自主智能体。这些现在都是需要严格监控的高价值目标。

为了匹配威胁的速度，你必须部署智能体 AI 引擎（如 Tenable Hexa AI）来自动化暴露的分类和修复。这实现了”机器速度防御”——用 AI 以 Mythos 发现漏洞的同等速度来发现、标记和修补你的基础设施。

────────────────

底线：行动窗口正在收窄

在与国家网络总监办公室、云安全联盟和 Anthropic 的积极对话中，共识已经明确：最低公分母的安全方法将不再足够。 这强化了传统网络卫生实践的关键性，同时强调需要在安全计划中构建自动化和高效系统。希望不是策略。

我们必须用暴露管理的相同原则来应对漏洞发现量的激增。看到一切、无情地优先排序、以机器速度修复——这就是 Mythos-ready 的含义。

────────────────

来源：Tenable Blog | 作者：Steve Vintz（Tenable 联合 CEO） 原文：https://www.tenable.com/blog/5-steps-to-become-mythos-ready-ai-cybersecurity

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《AI漏洞海啸来袭：五步构建Mythos-ready安全体系》