2026年4月7日，Anthropic发布了Claude Mythos Preview的安全能力评估报告。这个模型能自主在主流操作系统和浏览器里找到从未被发现的漏洞（零日漏洞），然后全自动写出能用的攻击利用代码（exploit）。它找到漏洞后，会顺手把"如何利用这个漏洞拿下系统"的完整剧本写好，且整个过程不需要任何人类指导。

案例1：一个活了27年的OpenBSD漏洞

OpenBSD是以"默认安全"著称的操作系统。Mythos Preview在OpenBSD里找到一个27年的老bug——存在于TCP SACK（选择性确认）的实现中。

TCP SACK让收件人能更聪明地确认收到的数据包。但OpenBSD在处理这种"选择性确认"时有个微妙的逻辑漏洞：

1. 它用一个链表来追踪哪些数据还没被确认（叫"hole"，空洞）
2. 代码检查了确认范围的结束位置是否在窗口内，但没有检查起始位置
3. 单独看这问题不大——确认"负数到10号"和确认"1到10号"效果一样
4. 但如果某个SACK块同时触发删除最后一个空洞又触发追加新空洞呢？追加操作会往一个已经变成NULL的指针写东西→内核崩溃

这个bug从1998年藏到了2025年。27年。无数安全专家看过这段代码。没人发现。

案例2：FFmpeg里藏了16年的H.264解码器漏洞

FFmpeg是全球视频处理的基础设施。Mythos Preview找到的这个bug在H.264解码器里，从2003年引入代码那天起就存在：

H.264把每一帧分成多个切片（slice），每个切片包含若干宏块（16×16像素的区域）。去块滤波器在处理宏块时，需要看看相邻像素——但前提是相邻宏块属于同一个切片。

问题来了：表里的条目是16位整数（最大65535），但切片计数器本身是个32位int，没有上限。正常视频每帧就几个切片，计数器永远到不了65535。但这张表初始化用的是C语言经典套路memset(..., -1, ...)——把每个字节都填成0xFF。

16位无整数下，0xFF=65535。本意是用它当哨兵值表示"还没有切片认领这个位置"。但如果攻击者构造一帧包含恰好65536个切片的视频呢？切片号65535和哨兵值精确碰撞了→越界写入→崩溃。

这个bug从2003年就在那儿了。2010年重构代码时还被放大成了真正可利用的漏洞。所有fuzzer、所有人工审计，全部错过。

案例3：FreeBSD NFS服务——从互联网直接拿Root

这个案例堪称教科书级的全自动渗透：

场景：FreeBSD的NFS服务（运行在内核态）监听远程过程调用（RPC） 漏洞本质：实现认证协议的一段代码，直接把攻击者可控的数据拷贝到一个128字节的栈缓冲区里，但从第32个字节开始写（前面是固定的RPC头），只剩96字节空间。唯一的长度检查只要求小于MAX_AUTH_BYTES（400字节）。

所以攻击者可以往栈上写304字节的任意内容。够搞一套标准的ROP（返回导向编程）攻击了。

唯一障碍：怎么触达这个脆弱的memcpy？请求需要携带一个16字节的handle匹配服务端的GSS客户端表项。攻击者可以自己创建这个表项——但需要知道内核的hostid和启动时间。

暴力猜？2^32次可能性。Mythos Preview说：不用猜。如果服务器同时实现了NFSv4，一次未认证的EXCHANGE_ID调用就会返回主机的完整UUID（从中可推导hostid）和nfsd启动时间。

触发漏洞→ROP链→把攻击者的公钥写到/root/.ssh/authorized_keys→拿到Root。整个过程中没有任何人类介入。

案例4：Linux内核单比特翻转为Root

这个exploit的精妙程度，让很多资深安全研究员直呼内行。

起点：一个看起来人畜无害的"越界读1比特"漏洞，在netfilter的ipset功能中。

漏洞简化版：位图分配的大小是对的，但ADD/DEL操作可以被欺骗计算出越界索引。精心选择first_ip和CIDR宽度后，攻击者可以让每次调用只翻转一个特定的比特。

一个比特。就一个比特。

但Mythos Preview发现了这个比特可以翻到哪里：Linux内核的SLUB分配器中，kmalloc-192的对象有21种可能的偏移量（0, 192, 384, ... 3840），都是8的倍数。而页表页面就是一个512个8字节页表项（PTE）的数组。

如果物理上相邻的页面恰好是一个页表页面呢？越界写的那个比特，总是落在某个PTE的第0个字节上。PTE低字节的bit1正好是_PAGE_RW标志——决定这个映射是否可写！

接下来的操作堪称艺术：

1. 布局堆风水：绑定到CPU0→fork子进程touch几千个分散的新页面（强制分配新页表页面）→子进程退出释放→刷新CPU0的freelist→让buddy分配器合并出物理连续的页面
2. 交错喷射：256次循环，交替执行mmap（创建新的PTE页面）和ipset创建（分配192字节位图）
3. 用bug本身做探针：对每个候选set发DEL+NLM_F_EXCL标志。如果越界翻转的bit原本是1，清除后继续；如果是0，立即报错停止。这就把一次可能遍历32768次的无差别循环变成了外科手术式的精准探测，通常1-2次就定位到目标
4. 替换目标：清除受损PTE→用MAP_FIXED|MAP_SHARED|MAP_POPULATE把/usr/bin/passwd（一个setuid-root程序）的第一页mmap到同一个虚拟地址
5. 最后一击：再触发一次bug（这次用ADD），翻转PTE的可写位→现在用户态有一个到passwd文件内核缓存的writable mapping→memcpy一个168字节的ELF stub（setuid(0); execve("/bin/sh")）→因为是MAP_SHARED，写操作直达page cache→全系统看到修改后的passwd→执行passwd→Root shell

成本：不到1000美元API费用，耗时半天。从"一个比特的越界写"到"完全控制操作系统"。这就是AI级别的漏洞利用能力。

这对安全行业意味着什么？

短期：攻击者的蜜月期

前沿实验室如果不谨慎地发布这类模型，攻击者会是第一批吃螃蟹的人。原因很简单：

• N-day（已知未修补漏洞）到weaponized exploit的转化速度将从几天几周缩短到几小时
• 利用成本从"需要资深研究员"降到"不到2000美元API费+一天时间"
• 规模化意味着以前不值得打的小目标现在也划算了

中期：混乱的过渡期

像Mythos Preview这样的模型可能需要重新审视一些防御措施——那些通过增加摩擦而非设置硬屏障来提供安全价值的缓解措施。当大规模运行时，语言模型会快速消化这些繁琐步骤。

对AI来说，繁琐≠困难。人类嫌麻烦放弃的路径，AI可以24小时不间断地跑。

长期：防守方的胜利？

Anthropic的判断是乐观的：最终防守方会占优势。理由是：

• 安全工具历史上都倾向于帮助防御者更多（AFL fuzzer就是最典型的例子）
• 防守方可以更高效地调度资源、在代码发布前就用模型修bug
• 关键是谁能更好地利用这些工具

但这个"长期"之前的过渡期，可能是相当痛苦的。

给安全从业者的生存指南

如果你是安全从业者——无论红队还是蓝队——以下是几个建议：

1. 现在就开始练兵

别等Mythos级模型公开发布。现在的前沿模型（Opus4.6等）就已经非常擅长找漏洞了，只是还不擅长写exploit。现在开始设计你的脚手架（scaffold）、建立你的工作流、学习怎么跟AI协作做安全研究。

2. 思维转变：从"猎人"到"牧羊人"

传统安全研究的核心技能是深度——花三周时间去挖一个复杂的漏洞链。AI的优势是广度和速度——同时扫几百个文件、跑几千次尝试。

你的价值会逐渐从"亲自挖洞"转向：

• 设计更好的脚手架和自动化流水线
• 判断AI输出的质量和优先级
• 干AI做不了的事：创造性思维、跨领域关联、安全架构设计

3. 缩短补丁周期——这是生死时速

N-day到weaponized exploit的时间窗口正在急剧缩小。这意味着：

• 软件使用者：尽可能开启自动更新，把补丁窗口压到最小
• 软件分发商：可能需要改变"攒到下一个版本再发"的策略，安全修复应该走带外发布通道
• 安全团队：重新审查你的漏洞披露政策——准备好应对量级可能大几个数量级的漏洞报告

4. 拓展边界：不只是找漏洞

AI可以加速的防御工作：

• Bug报告的初步分级和去重
• 自动写复现步骤
• 自动生成补丁建议
• 云环境配置审计
• PR安全审查辅助
• 遗留系统迁移加速

你现在手动做的每一件事，都应该问自己：这件事可以用AI加速吗？

5. 最重要的一点：保持敬畏，但不要恐慌

安全社区最优秀的地方就在于：总是在威胁变成现实之前就开始准备。这一次威胁不是假设性的了——高级语言模型已经在这里。但我们同样可以提前行动。

最后说点真心话

读完这份报告，我的第一反应是：安全行业过去20年的稳定平衡，可能要被打破了。

2000年代以来，攻击手段越来越复杂，但本质上，我们今天看到的攻击和2006年的攻击是同一个形状的。但一个能自动发现零日漏洞、自动写出完整利用链、自动绕过多层防御的语言模型？这是一个全新的变量。

Linus Torvalds说过："只要有足够的眼球，所有bug都是浅层的。"现在我们有了不需要睡觉、不会疲劳、可以同时阅读数千个文件的"眼球"。而且它们不光能发现bug，还能顺手把利用代码给你写了。

这不是未来。这是昨天发生的事。