当前位置：首页 > news >正文

当AI学会“挖洞”：从Mythos到360漏洞挖掘智能体，网

news 2026/4/23 21:16:17

当AI学会“挖洞”：从Mythos到360漏洞挖掘智能体，网络安全攻防进入新阶段

01 先说两个真事

第一个，发生在美国。

今年4月，一家叫Anthropic的AI公司，做了个测试。

他们把自己最新的AI模型——代号Claude Mythos Preview——扔进了一堆主流软件的代码里，跟它说：你去找漏洞。

结果这AI干了这么几件事：

在OpenBSD系统里，挖出一个藏了27年的漏洞。27年，比很多程序员的岁数都大。
在FFmpeg（几乎每个视频软件都在用它）里，找到一个藏了16年的漏洞。这16年间，自动化测试工具对着同一段代码跑了超过500万次，愣是没发现。
在Linux内核里，找到好几个能让攻击者直接接管整台电脑的漏洞。

更绝的是，它不光能找到，还会自己写攻击代码，当场演示怎么黑进去。

测试成功率——72.4%。而它的上一个版本，成功率不足1%。

Anthropic看完结果，做了一个很罕见的决定：这个模型，不对外公开。

为啥？怕落到坏人手里。

第二个，发生在中国。

同一个月，360也亮出了自己的“AI挖洞神器”——一个专门找漏洞的智能体。

它的成绩单同样挺吓人：

挖出一个潜伏了近5年的Windows内核提权漏洞。啥概念？攻击者可以利用它从普通用户变成系统管理员，想干嘛干嘛。
挖出一个藏了8年的Office远程代码执行漏洞。一旦漏洞被利用，你打开word文档时，电脑就可能被控制。

这两个漏洞，加起来影响全球超过10亿用户。

到现在为止，这个智能体已经累计找到近千个漏洞，其中50多个是全球第一次被发现的高危漏洞。覆盖Windows、Office、国产系统、安卓、智能设备、OA系统……

02 这两件事放一起，说明什么？

一句话：AI挖漏洞，已经不是科幻片了，是真刀真枪能干的事。

以前，要找一个高危漏洞，得顶级安全专家花几个月甚至几年。现在，AI可能几分钟就给你列出一串候选。

更要命的是：AI找漏洞的速度，已经明显比人类修漏洞的速度快了。

你琢磨一下这个节奏——

一家软件公司发现漏洞，要确认、写补丁、测试、推送……一套流程走下来，快则几天，慢则几个月。

但AI呢？一个模型在测试阶段，几天内就能翻出几千个潜在问题。

这意味着什么？

意味着你正常用着电脑、刷着手机的时候，系统里可能就藏着一些还没人知道、也没人来得及修的口子。而AI的出现，让挖这些口子的门槛，一下子降到了地板。

03 周鸿祎有句话，挺值得琢磨

他说：

“当攻击能力可以被训练进模型并规模化复制，一个人就能同时操控几十甚至上百个‘黑客智能体’。网络安全将从‘人与人对抗’，变成‘人与机器、机器与机器对抗’。”

我翻译成人话——

以前，黑客是个人，防守方也是个人，拼的是技术、经验和谁更能熬夜。

以后，攻击方可能就是个普通人，他只需要对AI说一句“帮我搞进那家公司”，AI就能调动上百个“虚拟黑客”同时干活。

防守方呢？也只能靠AI来挡。

这不是未来，这是现在进行时。

04 那咱普通人能干啥？

三个方向，不扯虚的。

第一，别光等着官方补丁。

以前厂商说“下周二发补丁”，你还能安心等几天。现在不行了——攻击者可能在你收到补丁之前，就已经把漏洞用上了。

所以，老派但管用的习惯反而更重要：

关掉你用不上的网络服务（比如远程桌面）
能开多因素认证就别只用密码
重要文件勤备份
重要数据或敏感数据注意保存

第二，用AI防AI，这话已经不是口号了。

360做的事证明了一点：AI能挖洞，也能帮忙堵洞。关键是谁先用、谁用得狠。

以后每个公司的安全团队里，大概率会有几个“AI安全员”——7x24小时不睡觉，帮你扫代码、模拟攻击、提前报警。

第三，这事儿真跟你我有关系。

你可能会说：“我又不写代码，漏洞关我啥事？”

但漏洞可能藏在：

你手机里的App
你电脑上的Office
你家的智能音箱
你公司的OA系统
甚至你开的车

当一个AI能在几天内翻出成千上万个未知漏洞时，网络安全风险确实在扩大，咱都得提个醒。

不是吓唬你，而是想说：别再觉得安全只是IT部门的事，它跟你每天点开的每一个链接、装的每一个App都有关系。

05 最后说几句

Anthropic因为怕模型被滥用，选择不公开 Claude Mythos Preview。但它的测试结果还是通过行业报告传了出来。

这就像一项强大的技术出来了——它可以是武器，也可以是盾牌。

而360的智能体给出了另一条路：用AI来帮人防守，让安全能力跑在威胁前面。

两条路，最后都会回到同一个问题：

当机器越来越会找漏洞，我们怎么才能更好地保护自己？

答案不在AI手里，而在我们怎么设计它、怎么管它、怎么用它。。。。

本文信息来源：360官方公告、Anthropic公开测试报告、美英联合安全评估报告、科学网、赛迪网等公开报道。

个人观点，仅供参考。如果你觉得这篇文章有帮助，欢迎转发给身边的朋友。网络安全，从来不是一个人的事。

学习资源

如果你也是零基础想转行网络安全，却苦于没系统学习路径、不懂核心攻防技能？光靠盲目摸索不仅浪费时间，还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造！

01内容涵盖

这份资料专门为零基础转行设计，19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进，攻防结合的讲解方式让新手轻松上手，真实实战案例 + 落地脚本直接对标企业岗位需求，帮你快速搭建转行核心技能体系！

这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。