泄露曝光Anthropic新模型“Mythos”专攻网络安全应用

Anthropic并未计划以这种方式推出Mythos。这家公司称其为迄今最强大的AI模型，相关细节通过其内容管理系统(CMS)的数据泄露而曝光，显示这是一个在推理和编程技能方面显著提升的大语言模型。

这次数据泄露是该公司员工无意中通过公开访问的数据存储库暴露了关于该大语言模型的材料，包括相关草稿博客文章。独立安全研究人员于上周首先发现了这一问题。

在问题披露后，Anthropic限制了对数据存储的公开访问，随后将此次暴露归因于其CMS的配置错误，并向最先报道此次泄露的《财富》杂志确认了该模型的存在。

专注苹果产品的爆料者M1Astra也标记了这次暴露，在访问受限前在X平台上存档了Anthropic关于Mythos的草稿博客文章副本。

在那份草稿中，Anthropic本身采取了谨慎的语调，表达了对该模型在网络安全方面潜在影响的担忧。

该公司写道："在准备发布Claude Mythos时，我们希望格外谨慎行事，了解它带来的风险——甚至超出我们在自己测试中了解到的风险。"并补充说，公司特别专注于评估近期网络安全风险。

博客进一步表示，Anthropic希望首先在企业安全团队中部署Mythos，并已经与"少数早期访问客户"一起测试该模型的网络安全能力。

这一理念似乎很直接：如果今天的模型已经能够识别甚至帮助利用软件漏洞，那么像Mythos这样更强大的系统可能会显著加速发现和滥用——这对防守者和攻击者都提高了风险等级。

Pareekh咨询公司首席分析师Pareekh Jain表示，Mythos可能对首席信息安全官和企业安全团队产生双面影响，缩小网络攻防之间的差距。

Jain说，一方面，像Mythos这样的模型可以通过自动化漏洞发现、持续红队测试、快速分类和大规模威胁狩猎等领域来改变安全格局；另一方面，它可能通过让AI智能体以高技能水平自主行动来使网络攻击变得更容易。

Jain补充说，对首席信息安全官而言，这种风险并非理论性的，因为早期模型很快就被重新用作开发恶意软件的工具。

HCLTech高级技术专家Vladimir Belomestnov在LinkedIn帖子中写道，由于Mythos具有"递归自修复"等功能，风险甚至更高。

Belomestnov写道："泄露的文件突出显示了AI自主识别和修补其自身代码漏洞的能力。即使目前仅限于辅助利用，这也表明人类和机器软件工程之间的差距正在缩小。"

然而，Anthropic似乎距离该模型的完全发布还有一段距离。

草稿博客文章副本中写道："Mythos也是一个大型、计算密集型模型。为我们提供服务的成本很高，客户使用的成本也会很高。在任何全面发布之前，我们正在努力使模型更加高效。"

然而，很明显的是，该公司已经在规划针对网络安全用例的分阶段推出。

该公司在草稿博客文章中写道："我们将在未来几周内慢慢扩大通过Claude API使用Claude Mythos的客户访问权限。由于我们对网络安全用途特别感兴趣，这是我们最初旨在扩展早期访问计划的领域。"

还有另一份博客文章副本，其中也将该模型命名为Capybara。Anthropic尚未明确该模型的最终名称。

不过，对模型名称的犹豫不决并没有阻止它在上周震撼市场。包括CrowdStrike、Palo Alto Networks、Zscaler和Fortinet在内的网络安全供应商股价下跌，因为投资者在评估Claude Code Security中更强大的模型对竞争格局可能意味着什么。

然而，Avasant研究总监Gaurav Dewan对Mythos对供应商的影响更为乐观："强大的模型不会取代网络安全平台"。

相反，Dewan认为供应商将越来越多地将来自Anthropic、OpenAI等公司的前沿模型嵌入到他们的技术栈中，用于漏洞发现、代码和云态势管理，以及威胁调查和响应自动化。

Dewan补充说："可以预期合作伙伴关系和受控集成，而不是去中介化。已经拥有遥测、工作流程和执行能力的供应商将受益最多。"

Q&A

Q1：Mythos是什么？它有什么特殊能力？

A：Mythos是Anthropic开发的大语言模型，被该公司称为迄今最强大的AI模型。它在推理和编程技能方面有显著提升，具备"递归自修复"能力，可以自主识别和修补自身代码中的漏洞，主要面向网络安全应用场景。

Q2：Mythos为什么会对网络安全行业产生重大影响？

A：Mythos可以双面影响网络安全。积极方面，它能自动化漏洞发现、持续红队测试和威胁狩猎；消极方面，它可能让网络攻击变得更容易，因为AI智能体能以高技能水平自主行动，甚至可能被用于开发恶意软件。

Q3：Anthropic计划如何发布Mythos？

A：Anthropic采取谨慎的分阶段发布策略。目前正与少数早期访问客户测试模型的网络安全能力，计划首先在企业安全团队中部署，然后在未来几周内通过Claude API慢慢扩大客户访问权限。