Claude 最新模型Mythos攻破所有主流系统！安全圈大佬：传统漏洞研究已经完蛋了

2025年，AI生成的漏洞报告在安全圈还是个笑话——要么是废话连篇，要么是胡编乱造。

2026年，一个月前，世界变了。

Anthropic发布了一款不公开的模型——Claude Mythos。它的网络安全能力强到离谱，只能通过一个叫Project Glasswing的项目，专门给安全研究人员使用。官方说法是：需要给整个软件行业留点时间准备。说白了，就是太强了，怕吓到大家。

强到什么程度？

它发现了数千个高危漏洞，覆盖了所有主流操作系统和浏览器。更可怕的是，它不只会找漏洞，还能自己动手写攻击代码。

随便举几个例子，你就知道多离谱了。

案例一：OpenBSD，27年的老漏洞

OpenBSD一直号称"世界上最安全的操作系统"，代码审计严到变态。然而Mythos在上面发现了一个存在了整整27年的漏洞。

问题出在TCP协议的处理上。当服务器收到带有非法SACK选项的TCP数据包时，整个内核直接崩掉。SACK是啥？你不需要知道，你只需要知道：攻击者只需要往服务器发几个特殊的数据包，不管你服务器配置多好、补丁打多勤，任何一台OpenBSD服务器都会直接宕机。

想象一下，你开着一家网店用的是OpenBSD服务器，黑客只需要敲几行命令，你的网站就彻底挂了。没有数据泄露，就是单纯让你下线——这种攻击叫DoS，拒绝服务攻击。而这个漏洞，在过去27年里一直躺在代码里，等着被发现。

Mythos发现它，用了几秒钟。几秒钟。

案例二：浏览器沙箱，形同虚设

浏览器是现代人上网的入口，为了保护你的电脑，浏览器会在一个"沙箱"里运行网页代码——理论上，即使网页里有恶意代码，也逃不出这个笼子。

然而Mythos展示了什么叫"链式攻击"：它自己写了一段漏洞利用代码，巧妙地串联起4个不同的漏洞。第一个漏洞突破渲染器沙箱，第二个漏洞获得初始代码执行权，第三个漏洞绕过地址空间随机化保护，第四个漏洞关闭系统安全机制——四步走，层层突破，最终从你的浏览器直接跳到操作系统层面，完全控制你的电脑。

你只是正常浏览一个网页，后台已经悄无声息地接管了你的电脑。你以为的安全上网，可能只是你以为的。

这些漏洞利用代码，是Mythos自己生成的。人类安全研究员需要几个月的研究才能写出这样的链式攻击，Mythos用了几小时。

案例三：FreeBSD和Linux，权限随手拿

前面两个案例是让服务器宕机或者控制你的电脑，接下来这个更狠——直接拿到服务器的最高权限。

在FreeBSD的NFS服务器上，Mythos自己编写了一个精巧的ROP链。ROP是什么？你可以理解成"用零件拼出一把钥匙"——系统本身有很多代码片段，Mythos聪明地把这些片段串联起来，组装成一段攻击指令。这段ROP链被分成多个数据包发送，悄无声息地完成部署。

结果呢？任何一个未认证的用户，不需要任何账号密码，直接获得root权限——服务器的最高控制权。

Linux上也没好到哪去。Mythos发现，普通用户账户可以通过竞态条件漏洞（race conditions）和绕过内核地址随机化保护（KASLR-bypass），轻轻松松把自己的权限提升到管理员。

如果你租了一台云服务器，你以为只有你自己能访问？但如果这台服务器跑着有漏洞的NFS服务，黑客分分钟拿到root权限，你所有的数据、密码、客户信息，全都不再是你的。

数据对比：181 vs 0

说了这么多，你可能还是觉得这是"演示"、"概念验证"。那我给你看一组真实测试数据。

在Firefox浏览器的漏洞挖掘测试中，Claude 4.6 Opus——也就是目前公开的最强模型——尝试了数百次，成功次数是2次。是的，几百次里成功2次。

Mythos呢？成功181次。还有29次虽然没能完全拿下，但已经控制到了寄存器层面——距离完全接管只差一步。

181 vs 0。这不是量变，这是质变。

行业大佬：一个月前世界变了

Linux内核维护者Greg Kroah-Hartman说了一句让整个行业脊背发凉的话：

"一个月前世界变了，从AI垃圾变成了真正的高质量安全报告。"

curl作者Daniel Stenberg更直接：现在每天要花好几个小时处理这些报告——不是抱怨太多，是根本处理不过来。

Anthropic安全研究员Nicholas Carlini的感慨更是疯狂——"过去两周发现的bug，比我一生发现的都多。"

Thomas Ptacek写了篇文章，标题直接宣判："传统漏洞研究已经完蛋了"（Vulnerability Research Is Cooked）。

这话听起来像标题党，但你看完这些数据，还会觉得是夸张吗？

当AI可以用你无法想象的速度找到漏洞，当它的发现数量可以秒杀人类安全研究员一辈子的成果，安全行业的游戏规则正在被彻底改写。