本文为绿盟科技针对 AI 威胁的安全研究报告，聚焦 Anthropic 发布的 Claude Mythos Preview 模型。该模型具备自主 0day 漏洞挖掘与全链路网络攻击能力，性能显著优于同类模型，形成攻防非对称优势，大幅压缩漏洞挖掘与武器化周期，加剧开源供应链 0day 暴露风险。报告结合攻防实测数据，从攻防对抗、开发与安全运营维度，提出以 AI 对抗 AI、安全左移、构建智能防御体系等建议，为企业应对 AI 驱动的新型网络威胁提供实操指引。

一、背景

1.1 Mythos模型能力概述

2026年2月，Anthropic 曾提出计划开放Claude code Review 功能，提供代码漏洞发现与修复的能力，随后的2个月，Anthropic并未再提及此事，而是在3月底Blackhat的[un]prompted2026大会前夕发布了其最新模型能够全自主地在所有主流操作系统和浏览器中发现并利用零日漏洞，包括一个存在了27年的OpenBSD缺陷和一个被自动化模糊测试工具执行了 500 万次却从未捕获的FFmpeg 漏洞。

2026年4月7日，Anthropic 正式公开了Al模型Claude Mythos Preview，宣布由于模型实战能力过于强大，不向公众开放其模型能力，同时启动了名为“玻璃翼计划”(Project Glasswing)的防御性网络安全联盟，仅限经过审核的12家创始合作伙伴和约40家关键基础设施维护组织使用Mythos模型能力。

1.2 Mythos与opus4.6测试对比

在可量化指标上，Mythos 相比上一代可公开模型呈现出明显跃迁。公开数据中，CyberGym 指标 Mythos 为 83.1%，Opus 4.6 为 66.6%；在 Firefox 相关利用实验中，Mythos 成功生成可用利用 181 次，另有 29 次达到寄存器控制；在约 1000 个开源仓库、约 7000 个入口点的测试中，实现 595 次 1 到 2 级崩溃，并在 10 个 fully patched 目标上达到 5 级控制流劫持。上述数据说明，Mythos 的能力提升不是单一任务点上的偶发好成绩，而是跨漏洞发现、利用生成和收敛效率的系统性抬升。

为便于横向对比，关键指标可整理如下（均来自公开披露口径）：

二、核心观点

1

攻击方获得绝对的非对称优势，AI极大地降低了发现和利用漏洞的成本与技能门槛，使得以往需要国家级资源才能实现的高级网络攻击能力现在变得触手可及。Mythos模型在当前已经体现出了在白盒以及实网攻击中的作用，并且未来在复杂链路攻击中将越来越趋于稳定。当前模型已经具备在CTF、靶场等场景中实现了零辅助通关的能力，未来将更加接近，详细说明与实测证据如下：

a) CTF：大模型在CTF测试中的表现出明显的能力跃升，Claude Mythos预览版模型在完成“专家级”CTF任务上，达到了73%的正确率。实测证据表明，opus4.6模型在挑战赛中获取flag（44/56）成功率79%。

b) 靶场环境（黑盒测试）：大模型入口嗅觉强，长链路收敛能力、信息关联与组合利用能力强，可完成能完成端到端的真实控权。实测证据表明，opus4.6在两个三层网络下一次通关，不需要任何辅助skill。

c) 代码审计（白盒测试）：白盒审计已经跨过了”能用”的门槛，正在逼近”好用”的临界点，Claude 在两个真实 CVE 上均以分钟级速度给出了专业审计员水平的产出。实测结果，成功获取jenkins CVE-2024-23897（CLI 任意文件读取）和 Apache ActiveMQ CVE-2023-46604（OpenWire反序列化 RCE）的CVE漏洞挖掘，补丁与官方一致。

d) 实网对抗：考虑到国家级对抗同时强调隐蔽性和持久性，当前模型暂未实现，因此在强对抗环境下，其能力上需要验证。但应用在国家级对抗中，其信息收集和分析能力，包括钓鱼伪造等能力已经得到充分验证，其信息收集的深度和广度将超过传统人工能力。

2

在攻防对抗领域，其对抗结果由模型能力+工具以及Agent三者共同决定，存在叠加关系。模型能力决定了攻防对抗领域的能力的基础，但围绕模型搭建的应用框架，包括Agent、prompt、Skills、工具集等，也会显著影响模型能力释放效果。相关能力越强， 模型间差距越容易被拉平，现在的AI也许在常态化渗透测试表现不错，并不意味着它做好了在高级的诱捕、蜜网等“迷宫”条件下进行渗透测试的准备。因此在模型确定的情况下，从拉高攻防能力上限的角度考虑，可重点投入相关应用框架的能力储备，积极开展对抗性智能体研发与部署。

a) 上下文管理：因实网攻击是多阶段、长周期的任务，模型需要记住之前的发现、避免重复操作、保持攻击路径的连贯性。

b) 逐步积累高质量的Skill形成知识积累：在同等模型下，通过Agent结合skill将显著提升在特定任务上的表现，但 Skill 本质更接近“能力补丁”而非“能力替代”。

c) 多模型路由：攻防领域细分场景多，模型优势也不同，因此要基于多模型协同与路由实现规模化和成本优化。

3

Mythos模型在安全各领域将发挥重要作用，场景如下：

a) 日常安全运营，从“被动防御”向“主动狩猎”转型

i) 漏洞主动清零：主动识别日常运营的暴露面和攻击路径，针对漏洞进行主动发现和自动化复现，实现“漏洞发现即利用”。

ii) 事件响应：实现安全事件风险半径的实时推演，通过资产和漏洞信息对策攻击者可能危害的资产。

iii) 成本优化：结合业务上线，实现传统人工上线评估不能实现的实时上线测试。

b) CI/CD，从“事后修补”到“开发即防御”

i) 通过深度语义扫描+自主验证修复实现开发即防御：通过深度语义扫描理解代码意图，跨文件追踪漏洞，结合多模型协同提升检测精准度，可识别复杂业务逻辑漏洞，自主生成验证用例与修复补丁，适配流水线快速迭代，实现安全左移。

ii) 流水线全节点防护：覆盖CI/CD全流程节点，从代码提交、构建、测试到部署，实时嵌入安全检测，自动拦截含漏洞代码、不合规配置，避免漏洞流入生产环境；同时生成检测报告与优化建议，联动开发团队审批自动化安全修复补丁，实现闭环修复。

4

Mythos模型模拟了人类安全专家从代码审查到漏洞利用以及全链条网络渗透的全过程，而且以机器速度和规模执行并呈现指数级压缩和场景分化的双重特征：

a) 千万行代码量级的全面漏洞挖掘以往需要安全专家数月的时间，而Mythos的成本不足20,000美元，且在数小时内即可完成，单个漏洞识别在数分钟内即可完成且成本低于50美元；AI以机器速度发现和验证漏洞，接下来的漏洞披露的数量可能远超历史趋势；

b) AI将漏洞武器化时间压缩至小时级，而补丁周期仍以天/周计，防御方处于系统性劣势；

c) Mythos可自主整合3-5个漏洞形成多阶段攻击序列，在获得目标和网络访问权限后，无需持续人工干预即可完成复杂的多阶段攻击；从初始访问到域管理员权限，AI可数小时内完成，而人类渗透测试人员通常需要数天。

5

开源供应链0day批量涌现，情报和监测响应的及时性未来将尤其关键。相较于参与Glass Wing计划的主体，非参与企业与国家面临的0day漏洞挑战更为严峻，核心集中：

a) Mythos在0day挖掘与漏洞利用的数量、速度上的非对称优势，将导致面对Linux、Docker等基础设施的0day漏洞，而由于漏洞情报获取滞后，无法共享计划内的漏洞预警与处置资源，防守方将陷于被动局。

b) 关基设施暴露风险突出，Glass Wing计划大量上报此类设施漏洞，可能被别有用心者利用，针对非参与方发起精准攻击，且漏洞利用速度远超人工处置能力。

三、应对建议

以 Claude Mythos 为代表的大模型极大地降低了发现和利用漏洞的成本与技能门槛，使得以往需要国家级资源才能实现的高级网络攻击能力现在变得触手可及。同时也将漏洞发现从人工专家的数周压缩到数小时，漏洞发现和利用的时间窗口急剧收窄，网络安全的核心痛点已发生结构性转变：从漏洞被披露到武器化（生成攻击载荷）的时间窗口被无限压缩，引入“AI 对抗 AI”，争夺防御时间窗口，从根本上缩小“漏洞发现速度”与“组织响应速度”之间的致命差距。

3.1 攻防对抗

在类似HVV和APT对抗的领域，目前AI更擅长的是信息收集和分析、白盒漏洞挖掘等非对抗场景，在渗透实战强对抗环境下“动静”比较大容易被抓住踪迹，目前主要还处于辅助攻击的角色，防守方可引入AI攻击者视角来协助防守。

（1）梳理重要供应商清单，强化供应链安全管控

从海量供应链系统中筛选关键核心重要供应链单位进行提醒关注，通过收紧最小权限、落地零信任微隔离架构强化供应商管控，从而最大限度减少实战演练中因供应链边界突破和内网横向移动路径带来的失分风险。

（2）构建AI+蓝军一体化平台，实现常态化攻防演练

面对开源供应链风险、资产暴露面风险，主动梳理开源关键组件风险，聚焦Linux、Docker、开源数据库等关基设施和第三方软件和开源组件、主动使用先进的大模型进行漏洞挖掘和实网攻防对抗，提高网络防御韧性。

3.2 开发和安全运营

在开发过程中将AI能力集成到研发流水线中，利用AI先进的编程能力，在编码阶段加强安全编码规范的实现，利用AI的漏洞挖掘能力在系统上线前的各阶段充分测试减少漏洞。

在日常运营工作中，构建有AI驱动安全运营体系，压缩漏洞响应时间窗口。

（1）引入国产先进AI安全智能体，对核心系统开展持续主动漏洞挖掘

针对重要信息系统，部署国产先进AI 安全智能体开展持续性漏洞挖掘，先于攻击者发现自身漏洞，掌握主动权。

（2）安全极度“左移”，在 CI/CD 阶段实施自动拦截

考虑未来AI coding工作范式的变化，引入AI编码规范，降低因人工疏忽引入漏洞的概率。开发团队应将 AI 安全测试智能体直接集成到 GitHub Actions 或 GitLab CI/CD 流水线中，通过AI赋能代码审计、渗透测试环节，发现严重的安全缺陷（如 SQL 注入或越权），自动将该 PR 标记为“需要修复”，直接在合并阶段阻止带毒代码进入主分支。

（3）构建软件与AI物料清单（SBOM/AIBOM）

全面梳理并建立软件与AI物料清单（SBOM/AIBOM），在开发流和采购生命周期中强制引入SBOM与AIBOM，确切掌握系统内部集成的所有第三方微服务、容器、开源代码库、AI模型及其训练数据源，在底层开源组件爆出由Mythos等模型发现的零日漏洞时，瞬间定位受影响的业务范围，及时响应和处置。

（4）强化纵深防御体系，强化边界和终端的对抗能力

考虑到AI对于人类专家级在攻防对抗中的直觉或嗅觉，其在“防御严密的系统”中仍需要进行攻击尝试，触发安全警报。纵深防御机制仍是目前对抗以 Mythos 为代表的高级人工智能网络威胁最有效且核心的战略手段之一。网络侧强化网络隔离、分区分域等，以及严密的监控机制，如蜜罐、异常流量分析、监控审计等，构建纵深防御机制。同样，在假设系统漏洞必然会被 AI 快速发现的基础上，防御重心应转移到控制漏洞被利用后的影响范围上，回归安全基础设施建设，实施强有力的访问控制与身份验证、进行细粒度的网络隔离（微分段）和全面的日志记录强化终端侧的对抗能力，即便 AI 发现了某个边缘服务的零日漏洞，完善的网络隔离也能延缓或阻止其跨主机、跨网段构建多步攻击链的时间。

（5）构建AI +安全运营体系，强化威胁监测和响应机制

由于攻防的不对称，仍需做好漏洞失守的准备，重点聚焦核心重要资产，基于业务上下文的自动化分诊与研判，小模型负责对单日十亿级的海量异构日志进行初步过滤与高频降噪，大模型则负责对复杂的攻击链进行深度推理与溯源，构建AI+安全运营（XDR）平台，通过全面记录重要操作行为，多源数据（日志、流量、终端行为）的统一采集，利用AI识别分散在不同节点的攻击行为，提升攻击检测的精准度与速度。

基于AI Agent 驱动的自动响应，面对高度重复且结构清晰的攻击，授权 AI 智能体执行自动遏制（如隔离受影响网段、封禁异常IP或服务账号），实现闭环阻断，形成机器级响应闭环。

（6）行业协同情报预警，形成行业联防联控机制

借助情报预警Agent能力，实现从暗网及安全论坛抓取情报、信息整合、自动提取样本，形成行业威胁情报共享平台，各机构 AI 挖掘的漏洞实时共享（去标识化），消除单点防御的时间差，让攻击者无法利用”信息差”逐个击破。

（7）基于业务上下文，强化大模型配套Agent的研发

AI大模型和合适的Agent配合能发挥更好的效果，国内大模型厂商主要聚焦于模型本身的能力提升，Agent配套产品相对滞后。建议相关部门在相关政策中，引导国内厂商在提升模型性能的同时，同步建设适配自身的Agent工具生态。