文章总结: 阿图因AI在CyberGym测试中得分84.0%超过Mythos,并发现Mythos未发现的curl中危漏洞(CVE-2026-9079)。该系统在多个加密算法库中发现严重逻辑漏洞,包括OpenSSL和国密算法,最高评分9.3。阿图因AI在BVI严重漏洞总数榜排名第5,严重程度榜排名第1。文档强调阿图因AI是专为漏洞挖掘设计的Agent,与通用模型Mythos设计目标不同,不能简单比较。 综合评分: 82 文章分类: 漏洞分析,AI安全,红队,渗透测试,网络安全
阿图因 AI 在 CyberGym 测试中超过了 Mythos,不过这只是拼图的一部分
原创
TK TK
腾讯玄武实验室
2026年7月3日 08:16 北京
在小说阅读器读本章
去阅读
2014 年 4 月,Heartbleed 漏洞(CVE-2014-0160)爆发,影响了无数的系统,包括服务器和客户端。然而,受影响的服务器很容易通过网络扫描来发现,但到底哪些客户端软件受影响?没有人知道。全世界没有任何一个网络安全组织能给出答案。于是我诞生了一个想法:是否可以建立起一套系统,对全世界的软件进行自动检测,找出受影响的软件?
2014 年 6 月,我加入腾讯,创建了玄武实验室。2015 年,我带领刚加入实验室的几个同学开启了“阿图因”项目。最开始的目标是建立一套全自动已知漏洞扫描系统,每当类似 Heartbleed 这样的严重漏洞出现,我们能快速在全世界软件中找到受影响的对象,从而获得软件安全领域的上帝视角。
在这个目标初步实现后,我又给团队提出了一个新目标:除了扫描已知漏洞,能否自动或半自动地发现新的安全漏洞?在当时的技术背景下,很难做到泛化的自动化漏洞发现,于是我设定了一个具体范式:终端安全软件导致的沙箱逃逸漏洞。事实证明这个思路是可行的。2016 年,我们在温哥华的 CanSecWest 会议上发表了演讲《Sandbox Escape with Generous Help from Security Software》,揭示了全世界超过 55% 安全软件都存在会破坏系统沙箱机制的漏洞。
之后我们一直在迭代阿图因系统,给它增加各种能力,并尝试用于各种不同的领域,例如分析手机 APP 是否违规获取了用户隐私。
2023 年,在 ChatGPT 引领的新一轮 AI 浪潮中,我们很快意识到 LLM 在安全研究上的巨大潜力,于是开始探索使用 AI 进行漏洞挖掘等工作。之后,我们开始研发阿图因系统的新一代版本:阿图因 AI。
2026 年 4 月 7 日,Anthropic 正式公布了 Claude Mythos Preview,各种耀眼的测评分数在行业里引起了很大震动。但由于该模型被认为在安全漏洞发现等能力上强大到有些危险,所以只有少数机构获得了访问授权。首批获得 Mythos 访问权的机构中就有 Linux 基金会。2026 年 5 月 6 日,Linux 基金会的安全专家用 Mythos 对 curl 源码进行了检测,然后向 curl 核心团队提交了一份安全审计报告,其中声称发现了 5 个漏洞。
2026 年 5 月 11 日,curl 的创始人 Daniel Stenberg 写了一篇关于这件事的文章,他指出:Mythos 发现的这 5 个漏洞中有 3 个是误报,1 个是不会引起安全问题的普通 Bug,只有 1 个是低危漏洞。
从 Daniel Stenberg 写文章的语气看,他对 Mythos 的这份夸大的审计报告似乎有些生气。但考虑到 curl 影响巨大,至少有 200 亿台设备运行着 curl 代码,所以 curl 一直被全世界的安全专家密切关注,而且在此前 curl 研发团队自己也用了 OpenAI 的 Codex Security 等工具进行过检测,所以 curl 代码的安全性远超一般开源项目,Mythos 在 curl 中没有发现太多漏洞也是可以理解的。
在看到 Daniel Stenberg 那篇关于 Mythos 的文章之后,我们用阿图因 AI 对 curl 项目进行分析,发现了一个新漏洞(CVE-2026-9079)。这个漏洞被 curl 官方定级为中危。2026 年 6 月 24 日,curl 在 8.21.0 版本中修复了我们发现的这个漏洞。
也就是说,我们的阿图因 AI 发现了一个 Mythos 没有发现的漏洞。
那么,能否说阿图因 AI 比 Mythos 更强呢?这个问题无法简单地用“能”或者“不能”来回答。这不仅是因为我们访问不了 Mythos,无法进行直接的对比,更重要的是,阿图因 AI 是一个 Agent,而 Mythos 是一个模型。阿图因 AI 是为漏洞挖掘等特定任务而设计的,对这些特定任务,阿图因 AI 也许表现地更好,但对设计目标之外的任务,哪怕是数据恢复、恶意软件分析之类的安全任务,大概还是 Mythos 比较强。
虽然阿图因 AI 的研发早就开始了,不过看到 Mythos 的消息后,我还是很兴奋,因为阿图因 AI 终于有了一个参照物。于是我给团队提出了新目标:使用可本地部署的开源模型,在网络攻防方向上,超越 Mythos。
一开始大家被 Mythos 铺天盖地的宣传攻势吓到了,觉得不太可能实现。但我则觉得完全可能做到,因为网络安全领域的高质量数据对模型训练来说太少了,这决定了网络安全可能是 LLM 走向 AGI 之路上最后才能抵达的几个里程碑之一。Mythos 虽然测评分数领先,但和其它前沿模型相比并没有代差。所以我相信优秀的开源模型加上我们的安全能力,一定可以实现目标。
正是为了对比阿图因 AI 和 Mythos 在漏洞挖掘上的能力,所以我们才尝试用它来分析已经被 Mythos 分析过的 curl 代码。不过,虽然阿图因 AI 确实发现了 Mythos 未能发现的漏洞,然而这单独一个例子并不能说明太多问题。
所以我们还用阿图因 AI 跑了 CyberGym。CyberGym 是一个加州大学伯克利分校主导构建的基准测试,用于评估 AI 在真实世界网络安全任务中处理能力。之前 Mythos 也做过该测试,所以虽然我们不能直接访问 Mythos,但通过这个测试也能进行一定程度的对比。目前,阿图因 AI 的 CyberGym 得分是 84.0%,比Mythos略高,测试中使用的模型是 GLM-5.1。我们也正在使用 GLM-5.2 进行测试,期待能有更好的分数。
CyberGym 包含 1507 个真实漏洞,源自 Google 的 OSS-Fuzz 系统在 188 个大型开源软件项目中发现并修补的漏洞。所以 CyberGym 确实可以在某种程度上评估 AI 的真实漏洞挖掘能力,可以说是目前最好的漏洞挖掘公开测试集。然而,CyberGym 也存在一些局限。
首先,这 1507 个漏洞的信息是公开的,那么相关信息可能也会出现在模型的训练数据里。如果是这样,对于 AI 来说,就相当于在考试前已经看过题了。即使相关信息没出现在模型的训练数据里,AI 执行任务过程中也仍可能通过一些其它“作弊”手段通过测试。我们在测试中就观察到了一些这种“作弊”,并有针对性地加强了“监考”措施。但如果我们没有这么做,测试得分就可能偏高。微软的 MDASH 曾报告了 96.55% 的测试得分,但这个分数并未被 CyberGym 官方认可,也许与此有关。
其次,为了能对测试结果实现相对简单的自动考核,CyberGym 选择的 1507 个漏洞都是内存破坏类漏洞,而无法导致程序崩溃的逻辑漏洞则不在其中。也就是说,CyberGym 评估的主要是 AI 发现内存破坏类漏洞的能力,而无法评估 AI 发现逻辑漏洞的能力。
逻辑漏洞的代码在语法上完全合法,甚至可以说符合安全规范。所以,要发现逻辑漏洞,就需要理解代码的意图。因此,不仅传统静态漏洞扫描和 Fuzzing 技术很难发现逻辑漏洞,这甚至对 AI 来说也是很大的挑战。
然而,发现逻辑漏洞的能力又非常重要。由于现代操作系统使用了各种漏洞缓解措施,内存破坏类漏洞的利用难度变得很大。但无论是各种漏洞缓解措施,还是像 Rust 这样以安全性著称的编程语言,对逻辑漏洞都无能为力。所以逻辑漏洞具有更高的可利用性,更大的现实威胁。
前面提到的阿图因 AI 发现的 curl 漏洞就是一个逻辑漏洞。官方漏洞公告为此特别强调说“即使我们不用 C 语言,这个漏洞很可能也无法避免”。
2020 年 ConsenSys 公司推出了零知识证明库 gnark。ConsenSys 由以太坊的联合创始人 Joseph Lubin 创办,在 Web3 社区有较高知名度。所以 gnark 发布后,除被用于 ConsenSys 自己的以太坊二层网络 Linea zkEVM 外,也被很多知名 Web3 项目所采用,包括由 Sam Altman 担任联合创始人的 Worldcoin、以及币安的 BNB Chain 等。
由于零知识证明是 ZK-Rollup 技术安全性的核心,所以在过去几年中,以太坊基金会、Worldcoin 等机构委托了众多顶级 Web3 安全团队对其进行安全审计,包括:Kudelski Security、Sigma Prime、Consensys Diligence、LeastAuthority 以及 OpenZeppelin 等。在多方背书下,gnark 被广泛认为是高度安全和可靠的。
2025 年 8 月,阿图因 AI 在 gnark 中发现了一个评分高达 9.1 的漏洞(CVE-2025-57801)。Web3 业务如果使用了相关代码,攻击者就可以基于一笔真实交易(例如,用户 A 向 B 转账 1 个代币),构造出一笔内容相同但签名不同的伪造交易,并利用有缺陷的验证逻辑使其被判定为有效,从而反复执行该交易,把用户 A 账户里的代币一个一个全转走。
这个 gnark 漏洞的独特之处不仅在于它是 Web3 社区的重要项目,或者能和 Sam Altman 联系上,更重要的是它是一个密码学漏洞,而密码学漏洞属于逻辑漏洞。
所以,在发现 gnark 的漏洞之后,我向团队提了一个问题:阿图因 AI 能否在更多通用加密算法库里发现严重的逻辑漏洞?
刚开始团队成员不是很有信心,因为加密本来就是一种安全技术,加密算法库的开发者通常都懂安全,另外加密算法库也深受网络安全专家的关注。更重要的是,我希望能发现的是逻辑漏洞。根据 2022 年的一项研究,在加密算法库的严重漏洞里,逻辑漏洞只占 3.57%,占比极少。所以,当阿图因 AI 最终真的发现一批加密算法库的严重逻辑漏洞时,团队成员在兴奋之余也很惊讶,因为我们真的做到了。
这些漏洞涉及的加密算法库包括 Python 生态中最核心的密码学库 cryptography、Java 生态中最著名的密码学库 bc-java、Rust 密码学生态的事实标准 RustCrypto、前端和 Node.js 生态国密的事实标准 sm-crypto,以及不用太多介绍的 OpenSSL 等。漏洞涉及的算法既有椭圆曲线这样的国际通用算法,也有中国商用密码算法 SM2,甚至还有一个漏洞涉及俄罗斯国家标准密码算法 GOST。
评分 7.0 以上就属于高危漏洞,而阿图因 AI 发现的这些漏洞里评分最高的达到了 9.3。其中有些漏洞可以直接破解出明文,有些漏洞甚至可以获得加密用的私钥。这些会导致加密形同虚设的问题对加密算法库来说是致命的。(CVE-2025-14813、CVE-2026-23966 等)
除了前面提到的 CyberGym,加州大学伯克利分校还有一个 BVI 榜单。BVI 专门收集 AI 在真实世界里发现的新漏洞。这就避免了前面提到的 CyberGym 使用已知漏洞做测试导致 AI “考试前已经看过题”所可能带来的评估偏差。目前阿图因 AI 在 BVI 严重漏洞总数榜上排名第 5,在漏洞严重程度榜上则排名第 1。
当然,BVI 也有其局限性。CyberGym 是所有考生做同一套题,而 BVI 的题是考生自己找的,每个考生想找多少题来做都可以。那么,最终分数和投入了多少算力、分析了多少代码就有很大关系。做 100 道题得 100 分,和做 1000 道题得 100 分肯定是不一样的。
Anthropic 通过“玻璃翼计划”,向各大企业和开源基金会提供了 1 亿美元 Mythos 的 Token 使用额度。我们这样的小团队预算有限,阿图因 AI 发现的漏洞主要是研发过程中的副产品,消耗的 Token 价值远小于“玻璃翼计划”预算的 0.1%。
虽然用的预算不多,但阿图因 AI 已经发现了不少相当严重的漏洞。
除了前面提到的加密算法库的漏洞等,我们也用阿图因 AI 分析了 XRDP 等重要开源项目。目前发现的漏洞中评分最高的达到 9.8 分,可以直接导致各 Linux 发行版本被远程入侵。(CVE-2026-41252、CVE-2026-44178 等)
另外,我们还用阿图因 AI 对 AI 自身生态中的软件进行了分析。比如可视化编排引擎 Flowise 和轻量级微沙箱 BoxLite 都是 AI 社区的明星项目。阿图因 AI 在这些软件中发现了评分高达 9.9 甚至满分 10 分的漏洞,这些也都是逻辑漏洞。之所以获得如此高的评分,是因为这些漏洞可以直接远程入侵运行 Flowise 的系统,或者彻底打破 BoxLite 的安全防护措施。(CVE-2025-61913、CVE-2026-46695 等)
除了开源软件,我们还赋予了阿图因 AI 挖掘闭源软件漏洞的能力。在测试中,阿图因 AI 已经发现了 Windows 和 macOS 系统的漏洞。(CVE-2026-26168、CVE-2026-28978 等)
我们希望阿图因 AI 在漏洞挖掘上是全能的。所以,我们对漏洞的探索并不仅限于内存破坏漏洞、逻辑漏洞、开源软件、闭源软件这些传统视角。
如果把 Agent 看作新形态的操作系统,那么 Skill 就是新形态的代码。但目前整个行业对 Skill 漏洞的研究很少。而阿图因 AI 不仅发现了很多 Skill 漏洞,而且其中甚至涉及 Anthropics、OpenAI、Nvidia、Google 这些著名 AI 企业的 Skill。
例如,阿图因 AI 发现 Google 的某个 Skill 存在危险的命令注入漏洞。攻击者只要发送一封特殊构造的邮件到受害者 Gmail 邮箱,当受害者使用 Google 的这个 Skill 去处理邮件时,就会执行攻击者指定的命令。而 OpenAI 和 Nvidia 的一些 Skill 在处理 GitHub PR 时也存在严重的注入问题,攻击者通过提交恶意的 PR 就可能篡改用户所维护的代码仓库,甚至在 Agent 系统上执行任意命令。
阿图因 AI 的设计目标中还包括发现可能的后门。之所以说是可能的后门,是因为后门和漏洞取决于主观意图,仅仅从技术上看往往很难区分。
历史上真正被确定为后门的漏洞并不多。2000 年,有人发现微软 FrontPage 98 的服务器端组件中存在一个逻辑漏洞:攻击者只要发出包含“Netscape engineers are weenies!”(“网景的工程师都是弱鸡!”)这句话的特殊请求,就可以绕过安全验证,直接读取敏感文件内容。包含这样一句嘲讽竞争对手的话的漏洞显然不可能是无心之失。
但如果不留这么明显的证据,只是制造一些的隐蔽的漏洞呢?
最近阿图因 AI 在 ClamAV 中发现了多个漏洞。ClamAV 是一款老牌的开源反病毒引擎,广泛用于各种邮件网关、主机防病毒、终端安全管理等系统。所以在国内很多招投标信息中都能看到 ClamAV 这个名字。
2004 年,有个代码贡献者 W 给 ClamAV 的某脱壳模块写了一段代码 C1,其中存在一个漏洞 V1,可以导致内存越界写入,不过此时漏洞利用难度还较大。
2006 年,有人给代码 C1 增加了两个安全检查,修复了 V1 漏洞。然而,一个月后,W 重写了 C1。他并没删除那两个安全检查,但他的重构让那两个安全检查对 V1 漏洞的修复变得无效。V1 漏洞不仅被复活,甚至还变得更容易利用了。
2005 年,W 又给 ClamAV 的另一个脱壳模块写了代码 C2。在 C2 中,W 使用了两个很相似的变量名,并让这两个变量多次相互赋值,最后在一处通常不会被触发的分支中,本该使用其中一个变量时使用了另一个变量,导致了漏洞 V2。V2 漏洞极其隐蔽,人类安全专家阅读相关代码可能也难以察觉。
2006 年,有人给 ClamAV 报告了一个 Bug。这个 Bug 很容易修复,但如果该 Bug 被修复,就会间接导致 V2 漏洞也随之消失。然而,W 在修复这个 Bug 的时候,用了一种不太符合常理的非常复杂的修复方式,但这种修复方式恰好可以让 V2 漏洞继续存在。
另外,V2 漏洞在有 ASLR 的环境下较难利用,不过 2005 年 Linux 才刚刚开始初步支持 ASLR,当时绝大部分系统都并没有 ASLR。而且最开始 Linux 的 ASLR 只针对栈,而那个漏洞发生在堆。Linux 从 2007 年才开始支持堆的 ASLR。然而,W 在 2007 年又提交了一个存在信息泄露漏洞 V3 的代码。V3 漏洞可以帮助 V2 漏洞在存在 ASLR 的情况下也能利用成功。
由于 ClamAV 的性质特殊,相关漏洞对网络安全会产生很大威胁。假设某邮件网关用了 ClamAV,攻击者只需要利用漏洞构造一封邮件发送过去,ClamAV 在试图检查邮件时就会执行其中的恶意代码,然后,攻击者就能控制邮件网关,获取所有邮件。所以前面提到的 Google 的 OSS-Fuzz 项目一直把 ClamAV 作为重点漏洞挖掘对象,为其分配了 39 个 Fuzz 目标,而一般开源项目通常只分配 1 到 2 个。即便如此,V1 和 V2 漏洞也一直没被发现,以至于存在了二十多年。
正如前面所说,后门和漏洞在技术层面很难区分,上面这些情况也可能就是巧合,所以我们无法确定 V1、V2 是后门还是漏洞,不过这不是本文的重点。举 ClamAV 这个例子想说明的是:像这样综合了对漏洞、代码、系统、人、时间、事件的深度分析能帮助我们发现一个个孤立对象之间可能存在的隐秘联系,进而指引进一步的分析方向,甚至预见潜在威胁,这比单纯的漏洞挖掘更能触达安全的本质。目前阿图因 AI 还无法全自动完成这样的高级分析工作,这是我们未来努力的方向。
从漏洞挖掘到漏洞修复,从安全情报到事件分析,从资产测绘到渗透测试,这些都在阿图因 AI 的蓝图中。我们希望基于开源模型,最终把阿图因 AI 打造成全能的安全技术助理,甚至是合格的安全工程师,能够随时随地为用户提供服务。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:腾讯玄武实验室 TK TK《阿图因 AI 在 CyberGym 测试中超过了 Mythos,不过这只是拼图的一部分》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论