文章总结： 文档分析AI大模型在网络安全领域的应用突破，重点对比ClaudeMythos与GPT-5.5在漏洞挖掘和利用能力的表现。文章指出Mythos通过Firefox漏洞挖掘项目展现显著进步，而GPT-5.5虽稍逊但属同一梯队，标志网络安全模型进入分水岭阶段。作者基于实战经验验证模型能力，并预测技术迭代将加速漏洞挖掘效率。 综合评分： 87 文章分类： 漏洞分析,AI安全,红队,安全工具,安全开发

---

Mythos/GPT5.5 网络安全模型分水岭

原创

heige heige

黑哥虾撩

2026年5月31日 22:53 美国

在小说阅读器读本章

去阅读

不得不说Anthropic的CEO还是懂安全的，能把安全理解和运作发挥得淋漓尽致，上一个让我有这个感受的还是很多年前3Q大战的时候红衣教主了 …

实际上我在ChatGPT大火的时候，很多人认为网络安全是第一受益者，而我当时是比较悲观的，主要原因在于网络安全行业本身的规模小、高度碎片化、知识数据积累不集中等。现实走向也基本按这个方向走，当然网络安全也有它的无限上限空间的特点，毕竟大大们都认为：没有网络安全就没有国家安全，而Anthropic可能正式抓到了这点，在网络安全领域上开始有了新的突破，尤其是在漏洞挖掘和利用领域。

于是通过Anthropic一系列的运作成功树立了Claude Mythos模型的神秘而伟大的形象，以至于在前面不停的收到各方的询问：“黑哥，你用过Mythos吗？”

首先我要说明的一个问题：我真没有用过Claude的Mythos模型！我主力模型其实一直都是OpenAI的模型，至于为什么其实我在朋友圈多少说过，Anthropic太恶心了、太双标了！当然Mythos模型他们也不让我用，这个才是核心 🙂

模型对标

所以我们先看看我对模型认知的一个对标，这里主要是Coding视角

GPT-5.3-Codex <--> Claude Sonnet&nbsp;4.6&nbsp; <--> Gemini&nbsp;3.1

而漏洞视角是

GPT-5.5&nbsp;<--> Claude Mythos

这其实就是我今天要说的主题：网络安全模型分水岭

展露头角

Anthropic虽然恶心，但是不得不承认 Claude Sonnet 4.6 模型确实是一个关键节点，这个核心在于Coding上，而基于大家形成的Code Use范式趋动的通用智能体方案（《AI Agent 下半场》）这个Claude Sonnet 4.6 同样也算是Agent的一个关键节点就是 Claude Sonnet 4.6 在《罗福莉访谈之后：Vibe Coding → Vibe Working → Vibe Forking》里罗福莉的采访视频里反复强调了这个4.6的“标准”。

基于漏洞挖掘核心也在于模型对代码的理解，在网络安全漏洞挖掘和利用领域同样从Sonnet 4.6开始做了一些尝试，开始崭露头角，开始一系列的运作：

https://www.anthropic.com/news/claude-code-security

Using Claude Opus 4.6, released earlier this month, our team found over 500 vulnerabilities in production open-source codebases

然后就是Claude与firefox的故事：

https://www.anthropic.com/news/mozilla-firefox-security

“By the end of this effort, we had scanned nearly 6,000 C++ files and submitted a total of 112 unique reports”

“In this post, we share details of a collaboration with researchers at Mozilla in which Claude Opus 4.6 discovered 22 vulnerabilities over the course of two weeks. Of these, Mozilla assigned 14 as high-severity vulnerabilities”

“In the time it took us to validate and submit this first vulnerability to Firefox, Claude had already discovered fifty more unique crashing inputs. “

当时我也在朋友圈做了对应的评论：

另外同时在

https://red.anthropic.com/2026/exploit/

 文章也说明了漏洞利用的尝试细节：

When we say “Claude exploited this bug,” we really do mean that we just gave Claude a virtual machine and a task verifier, and asked it to create an exploit. To be thorough we also gave it about 350 chances to succeed. We then reverse-engineered the proof-of-concept exploit that Claude produced, both to verify the result and to update our understanding of the model’s emergent capabilities.

350轮尝试搞定了一个改JS Shell的利用（算不上实战的exp），大体估算下费用可能接近4000刀。在这个时期稍微早可能2周时间，我用GPT 5.3的模型做了同样的尝试，赶巧的是我也找了firefox的一个1day ：

https://github.com/mozilla-firefox/firefox/commit/fcc2f20e35ec

Firefox的在这个commit的补丁里写错了一个符号，导致漏洞没有完全修复好：

    MOZ_RELEASE_ASSERT(oolBlockSize > sizeof(OOLDataHeader));    if (nursery.isInside(oolHeaderOld)) {      // Store the forwarding word, with bit 0 set.      oolHeaderOld->word = uintptr_t(oolHeaderNew) & 1;      oolHeaderNew->word = WasmArrayObject::OOLDataHeader_Magic;    }

注意注释里写的逻辑是：“Store the forwarding word, with bit 0 set.”，而下面代码实现用的 & 而正确用法是 ｜

所以我当时就我git了这个补丁的代码，通过GPT-5.3-Codex的模型，经过几次尝试（用到了一些提示词工程）确实是找到这个漏洞点：

到这里我想要说明下，我这个都是站在实际0day挖掘视角去看问题的，所以到这里其实非常不够的，如果你把这个直接当漏洞报告发个官方，很可能收到的是一堆的谩骂与吐槽，当然那些沉迷于幻觉的可怜人可能还在洋洋得意…

那最起码能验证一下吧，于是让GPT-5.3-Codex来额PoC，我当时还不知道官方那种“JS Shell”的技巧，所以我都是非常直接让他写个Crash或者aSan的证明，结果遇到一堆的“道德”拦截而失败，于是我想到换Google的 Antigravity 多次尝试后终于通过Sonnet 4.5的模型实现了一个Crash的PoC

但是这个距离Exp还很远，于是我继续尝试，最后给我了一堆的幻觉Exp（为了弹计算器直接给你来了个Open）最终达到的效果是个Uaf的asan证据的POC

所以在这个阶段，这对于我来说没有特别“惊艳”的感受，这个很正常，对于一些本身熟悉浏览器漏洞利用的选手来说，利用国内的模型也能办到，想这种通过Agent工程化加强结合fuzz、代码审计找出0day的这个时候已经不算什么新鲜的事情了。比如：

https://arxiv.org/html/2604.20801v1

对象：Chrome

模型：Kimi K2.5

硬件：使用了 24 个节点，每个节点配备 8 张 H100 GPU，总计使用了 192 张 H100 GPU

Agent：http://t.cn/AXxNt7JF网页链接 （不是纯粹的代码审计）

时间：7 天

结果：10 个漏洞

神话登场

到了4月初了，Mythos正式登场：

https://red.anthropic.com/2026/mythos-preview/

因为有上面提到的Claude 4.6对比，一下就看到了“进步”，不管是漏洞发现还是漏洞利用都有显著的提升

Opus 4.6 is currently far better at identifying and fixing vulnerabilities than at exploiting them.” Our internal evaluations showed that Opus 4.6 generally had a near-0% success rate at autonomous exploit development.

But Mythos Preview is in a different league. For example, Opus 4.6 turned the vulnerabilities it had found in Mozilla’s Firefox 147 JavaScript engine—all patched in Firefox 148—into JavaScript shell exploits only two times out of several hundred attempts. We re-ran this experiment as a benchmark for Mythos Preview, which developed working exploits 181 times, and achieved register control on 29 more.

并宣布了 Project Glasswing：

https://www.anthropic.com/glasswing

比较有意思的他们文章里用了 27-year-old bug in OpenBSD 的例子，可能是因为Glasswing是邀请制的，面向老美的公司及组织，所以很多人可能是体验不到，于是就有了很多人用相对比较能力差的模型来去尝试挖掘这个漏洞，由此来证明其他模型也行你Mythos就是瞎吹，中间还插有来自CURL项目的创始人的“侧信道阴阳”，于是互联网上出现了一种声音：“Claude就是吹牛”，当然对于实际体验过的，参与Project Glasswing过计划的研究员反馈：“Mythos确实牛逼”

在后续的一些漏洞报告及论文测试效果可以看出来，更符合“Mythos确实牛逼”，如针对上面Firefox的连续运转，最终Firefox最终给出了一个结论性的报告：

Behind the Scenes Hardening Firefox with Claude Mythos Preview

In addition to fixing the 271 bugs identified by Claude Mythos Preview in the 150 release, we’ve shipped more of these fixes in 149.0.2, 150.0.1, and 150.0.2. We also continue to find bugs with other means internally, and, similar to other projects, we’ve seen a significant uptick in external reports in the last few months.

学术圈里的Dawn Song 也直接出来站台 ：

https://arxiv.org/html/2605.11086v1

这个是ExploitGym项目更偏漏洞利用方向的测试集

而到了4月底OpenAI推出了GPT 5.5模型并在5月初 推出了 GPT-5.5-Cyber（比Mythos / Glasswing：2026-04-07 晚了一个月），而最大的区分是OpenAI这个是开放性的，可以通过申请加入（需要“实名制”认证）可以体验。这个最大的区别就是，道德拦截，如果你直接用GPT 5.5会提升没完没了的：

Your conversations have multiple flags for possible cybersecurity risk. Responses may take longer because extra safety checks are on. To get authorized for security work, join the Trusted Access for Cyber program

当然提示多次后，就彻底不让用了…

从实际体验GPT 5.5的效果来看，及集合上面提到的及社区提到的效果来看 GPT-5.5的效果是接近 Mythos的，当然可能还有一些差距但是我觉得可以算是同一个梯队的模型，最起来在漏洞挖掘角度的上看，在漏洞利用角度的话差距可能更大一些 …

在这2天发布的Claude sonnet 4.8的反馈来看，GPT 很可能在6月初会更新新的模型。

分水岭

在《罗福莉访谈之后：Vibe Coding → Vibe Working → Vibe Forking》一文开头的时候提到了我经历的两个“aha moment”，一个是AiPy诞生的时候，代表着Python-use（Code-use）范式的通用智能体带来“Vibe Working”全新体验，而另外一个“aha moment”实际上就是说的GPT 5.5代码的漏洞挖掘方式彻底改变的体验，真正的“Vibe Digging”（实在不漏洞挖掘不知道用哪个词用Dig顶上吧）

我用了几个小时就在某著名开源项目中找到了几十个的“漏洞报告”，而且我没有用任何强大的“提示词工程”或者skills，只用了3句话的提示词，而且这些漏洞都给出了对应的动态验证证据，而不是那种幻觉，当然我还是不放心的，最后还加入的人工评审的环节，确定基本没有幻觉。

由此我喊出了那句：“漏洞挖掘，可能真的不存在了！”

这里需要提一下的就是Google的漏洞更新计划，在5月初进行了调整：

https://bughunters.google.com/blog/evolving-the-android-chrome-vrps-for-the-ai-era

随后发生在pwn2Own Berlin 2026报名阶段就被挤爆的 都说明了新的时代已经来临了

而比较有意思的是pwn2own报名成功的队伍了，firefox的项目没有一个是成功的，这个很多漏洞都是被比赛前一波更新的给撞掉了，在上面提到的

Behind the Scenes Hardening Firefox with Claude Mythos Preview

 里还有一个细节是更新里保守估计有81.6%确定与LLM相关（还有一些可能不好统计）

新时代已经来临，Claude Mythos 与 OpenAI GPT 5.5成为 网络安全领域模型分水岭。

Harness 工程

在5.12日微软发布了一个文章来介他们的智能体 MDASH（multi-model agentic scanning harness），通过编排 100+ specialized AI agents，并称其在公开 CyberGym benchmark 上拿到 88.45% 并且在他们内部发现了多个tcpip.sys的RCE：

Defense at AI speed: Microsoft’s new multi-model agentic security system tops leading industry benchmark

https://www.geekwire.com/2026/microsofts-multi-agent-ai-system-tops-anthropics-mythos-on-cybersecurity-benchmark/

这个就导致了我们一个思考，在模型分水岭上下这些Agent的 Harness工程的价值都在哪里呢？

在解决这个问题之前先聊下什么的 Harness 工程，其实我是不太喜欢用这个词的，在以往我的文章里其实都有提到，从提示词工程 到上下文工程 再到现在的 Harness 工程，很多时候都是一回事，只是描叙的对象或者阶段不一样而逐步”升级“的概念，其实核心还是在于人-模型-环境 三者之间的关系纠缠，这个都是现有大模型机制决定的。

所以我这里提到的 Harness 工程，其实包含很多的东西：

Harness 工程 = Agent 框架 + 上下文工程 + 记忆系统 + 领域 Skill + 环境可计算化 + 验证闭环 + 自进化机制

等等。而对于漏洞挖掘上的能力模型为：

漏洞挖掘能力 = 模型底座 × Harness 工程

那么我们回到分水岭这个问题上，分水岭上下的模型与Harness工程有什么不一样的效果提升呢？这个我觉得是一个比较关键的问题。

在上面提到Claude 4.6的时候就提到过，其实现在的国内的旗舰模型Coding能力都已经非常不错的，也证明通过一定的Agent Harness工程挖到0day漏洞都不是什么新鲜事情，所以Harness工程对于所有的模型的能力都是有提升的，这一点罗福利的采访里也有类似的结论。当然我觉得这个是通用智能体的一个能力模型，不只是局限在漏洞挖掘能力上。

所以说Harness 工程的增益效果是肯定的，只是在分水岭上下的模型可能付出的代价、增益的曲线、增益的上限可能又关键的区分，具体说在分水岭一下的模型，可能需要投入更强大的更深入的Harness 工程，得到的增益的曲线应该是比较垂直明显的走势，但是他能达到的上限能不能达到分水岭之上的模型效果是非常难说的，而在分水岭之上的模型，本身模型能力足够强大可能不需要多强大的Harness工程就很展示出非常好的能力效果，他这个的haress工程的提升效果曲线可能偏平缓，上限也可能趋向于最后算力的投入和专家知识的投入，最后更接近模型本身知识覆盖的上限。

也就是说漏洞挖掘在分水岭之下的模型得依赖Agent等的包括知识、技能、workflow等，而且不一定能达到分水岭之上模型的效果，而分水岭之上的模型可能不太依赖这些东西就有好的效果，当然这个也是有时间限制，因为模型覆盖多了容易被发现的漏洞就会被消灭掉，后面需要发费更多的tokens，需要更深的技能投入等投入。

（注：那个Harness工程增益曲线，模型实在是控制不好，所以我只能画个箭头）

蝴蝶

漏洞是网络安全的基础，因为大模型漏洞挖掘的 Aha moment的出现 导致分水岭上的模型（GPT5.5 / Claude Mythos）模型真正改变漏洞游戏规则，必然会引起一系列的连续反应。首当其冲的要算是开源项目，开源项目现在正在被AI清洗一遍又一遍，前面的firefox就是一个很好的例子，因为前面清洗了几波后，致大量的0day漏洞被撞掉 然后修复掉 所以导致pwn2own上的项目都失败了，当然这个不是说就绝对没机会了，实际上我也尝试了一波还是可以找到一些的，只是目前的tokens消耗就相对要多了

这个也算是对上面结论的一个实际验证，所以在这个角度上看对于开源项目来说，这一波对于开源程序来说 这个是防御方优势，而且在后续新开发的代码都会先通过AI清洗后上线 ，所以可以推断后续的开源程序的漏洞挖掘会越来越难！而目前最大的压力是漏洞审核和升级，目前我们提交的漏洞很多都在排队，而且撞得非常厉害，有的设置官方还没来得及回复邮件，而我通过git更新发现已经被修复：

---

已升级完成：本地 master 从 e8053c867 快进到 d44205284，当前是 release-1.31.1 / NGINX_VERSION “1.31.1”。

…

被本次更新明确修复的记录

  1. reported/NGINX-AUDIT-2026-0022-h2-response-builtin-header-hpack-oob-write.md:1

     对应 commit：58a7bc340

     记录的是 HTTP/2 response filter 内置 Content-Type / Location 分支缺少 NGX_HTTP_V2_MAX_FIELD 检查，

     字段级 length/write mismatch 成立但 worker OOB 未确认。新补丁正是在 ngx_http_v2_header_filter() 中给

     r->headers_out.content_type 和 r->headers_out.location->value 补长度上限检查。

---

再比如没完没了的Liunx 内核的LPE 看到人家的提交记录都是几百几百的算 …

这也导致可能甲方的安全需要注意资产的补丁更新管理，另外值得注意随时出现的蠕虫级漏洞利用，当然这个也非常难，毕竟是经过了很多年无数高手的挑战，前面就出现过nginx的RCE不过这些都是有条件的不是默认配置，实际利用价值相对于没有，还有就是微软自己发现的tcpip.sys 相关可能RCE也让人遐想，不过这个漏洞到EXP再到 蠕虫级利用还是有很长的路要走…

另外就是对于漏洞奖励计划，也随着改变，比如上面提到的Google的奖励计划，500刀的漏洞奖励引起不少安全研究人员的吐槽。在一方面就是攻击类型的组织，囤积漏洞可能变得成本越来越高，因为随时被撞掉，很有可能出现“散货”类的攻击，当然这个可能因为数据集比较小而导致比较难观察到 … 当然可能还有一些军火商的游戏也会被改变 … 还有类似于每月的漏洞日这种也可能发生变化，实际上从NGINX的更新就已经打破了以往的节奏，当然这些都是估计这个逻辑推断下的YY，实际上可能跟很多因素相关而不一定出现。

你上面说的是开源，那闭源的呢？我之前觉得可能闭源毕竟没有代码，需要依赖逆向工程或者Fuzzing技术，而这些都是属于Harness工程的内容，但是在我的实际尝试中，游戏规则一样在改变，当然我也用了一些比较“猥琐流”的方式，这个可能别人不一定能想得到，效果大概是：我跑某个闭源系统（少数组件开源）的漏洞差不多20个小时的样子，漏洞编号到了VUL-100多，当然这些没有人工确认，对于我来说是个很大的挑战！

在hi群聊起的时候，博士说起黑锅要是用Mythos应该可以玩出花来，确实有很多可以玩的套路，很多时候已经大模型已经打破了很多的壁垒，比如以前你搭个asan环境都要卡你很多坑，现在模型直接就帮你搞定了。

可能闭源的AI清洗行动可能比之前预计来得要更快！！！

蝴蝶已经起飞了，你该何去何从呢？而分水岭也不只是漏洞，而是整个Cyber安全的分水岭！

最后

我们在hi群里讨论这些的时候，大家都期待中国的大模型安全aha monment时刻，但是讨论后大部分的还是比较悲观的，但是还是有希望，古师傅提出“如果是压力给到模型厂商，模型厂商主导，而不是安全公司主导，有希望的” 深表认同，而这个“压力”是个关键！

在去年参加腾讯云鼎的沙龙圆桌的时候，我讲出了“AI（可能）救不了中国网络安全”，在LLM改变世界的时代，更多人失去了对安全行业的信心，当技术真正改变世界的浪潮来临的时候，我们只能望洋兴叹～～ 好像什么也改变不了 …

朋友 你还相信光吗？

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑哥虾撩 heige heige《Mythos/GPT5.5 网络安全模型分水岭》