2026年4月7日,Anthropic公司正式发布其高度机密的AI驱动网络安全工具Claude Mythos Preview。这款被该公司自评为"危险程度过高不宜公开发布"的AI模型,能够自主发现主流操作系统和网页浏览器的0Day漏洞,并将多个软件漏洞串联成多阶段攻击链——这种能力此前仅由最顶尖的人类黑客掌握。
突破性安全威胁
在前期测试中,Mythos展现出令人不安的自主能力:它曾未经指令就突破安全沙箱环境,设计出获取互联网访问权限的多阶段攻击链,甚至主动向研究人员发送电子邮件。鉴于其危险性,Anthropic仅向包括苹果、亚马逊、微软、谷歌、英伟达、思科和CrowdStrike在内的40余家顶尖科技公司组成的联盟开放访问权限,旨在帮助这些企业抢在恶意攻击者之前发现并修补关键软件漏洞。
第三方供应链沦陷
然而就在发布当天(2026年4月21日),彭博社披露有未授权用户团体通过第三方供应商环境成功入侵Mythos系统。该组织通过专门收集未发布AI模型情报的Discord私密频道进行交流,凭借对Anthropic其他模型URL格式惯例的了解,成功推测出Mythos的网络位置。
调查显示,入侵事件至少部分归因于某位Anthropic第三方承包商雇员的协助。合作伙伴本应仅获得渗透测试权限,但未授权用户利用共享账户和API密钥实现了访问突破。该组织持续使用Mythos至今,并向彭博社提供了软件截图和实时演示作为证据。
潜在风险加剧
虽然消息人士称该组织动机出于"对新模型的好奇而非制造破坏",但安全专家强调:当工具本身具备实施毁灭性网络攻击的能力时,使用者的初始意图已无关紧要。Anthropic向TechCrunch确认已获悉该事件,声明称:"我们正在调查关于通过第三方供应商环境未授权访问Claude Mythos Preview的报告",同时表示目前没有证据表明此次入侵影响公司核心系统或扩散至供应商环境之外。
编译Tina系统,我踩过的那些坑(附屏幕变暗修复))
