摘要:Anthropic发布Claude Mythos Preview,能够自主发现并利用软件漏洞,已在所有主流操作系统和浏览器中发现数千个高危漏洞,通过Project Glasswing向约40家科技公司提供受控访问,欧盟财长紧急要求获得访问权限。五眼联盟六大网络安全机构联合发布首份Agentic AI安全指南,警告AI Agent存在攻击面扩大、权限蔓延和行为失准等系统性风险。微软发布《从能力到责任》白皮书,提出前沿AI时代网络安全五大建议。
据IT Pro、NDTV Profit、The Next Web等多家媒体5月3日至4日密集报道,Anthropic正式发布Claude Mythos Preview,这是该公司迄今最强大的AI模型,具备自主发现和利用软件漏洞的能力。据Anthropic声称,Mythos Preview已在所有主流操作系统和网络浏览器中发现数千个高危漏洞,其中包括一个在OpenBSD中隐藏了27年的远程代码执行漏洞。Anthropic的前沿红队报告显示,没有正式安全培训背景的工程师可以在一夜之间让Mythos自动搜索漏洞,第二天早上即可获得可工作的利用代码。这一能力标志着AI在网络安全领域从辅助工具跃升为自主行动者,其发现漏洞的速度和规模远超人类安全研究人员。
Anthropic通过名为Project Glasswing的协调漏洞披露计划,向约40家主要软件厂商提供了Mythos的早期访问权限,包括Amazon、Apple、Google、Microsoft、Nvidia和JPMorgan Chase等,使这些公司能够在漏洞能力被广泛知晓之前进行修补。然而据The Next Web 5月4日报道,欧盟财长紧急要求获得Mythos的访问权限——目前没有任何欧盟机构能够使用这一工具,而Mythos发现的零日漏洞可能影响欧洲关键基础设施。这一事件凸显了前沿AI能力在地缘政治层面的分配不均问题:当最强大的AI安全工具仅限于美国科技巨头使用时,其他国家和地区的网络安全防御能力可能面临结构性劣势。Anthropic同时推出了面向企业的Claude Security公开测试版,但其能力远低于Mythos级别。
据The Register、CSO Online、Industrial Cyber等媒体5月3日至4日报道,2026年5月1日,五眼联盟六大国家网络安全机构——美国CISA和NSA、澳大利亚ASD ACSC、加拿大网络安全中心、新西兰NCSC和英国NCSC——联合发布了题为《谨慎采用Agentic AI服务》的30页指导文件。这是五眼联盟首次就Agentic AI安全问题发布联合指南。文件警告,Agentic AI系统引入了多种新型风险,包括攻击面扩大、权限蔓延(privilege escalation)、行为失准(behavioral misalignment)和有限的可审计性。文件指出,AI Agent"很可能会出现异常行为",并会放大组织现有的安全脆弱性,因此建议组织采取缓慢而谨慎的部署策略。
该指南为AI Agent的开发者、供应商和运营者提供了具体的安全最佳实践,核心建议包括:实施最小权限原则(least privilege),确保AI Agent仅获得完成任务所需的最低权限;建立持续审计机制,监控AI Agent的工具调用和数据访问行为;采用渐进式部署策略,避免在未充分验证安全性的情况下大规模推广。文件特别强调了提示注入(prompt injection)、工具滥用和权限蔓延三大威胁向量。这份指南的发布时机恰逢Anthropic Claude Mythos引发的全球网络安全讨论高潮,反映出各国政府对AI自主能力快速提升的深切关注。对AI产业而言,这意味着Agentic AI的商业化部署将面临更严格的合规要求和安全审查。
据Microsoft官方博客5月1日发布,微软发表题为《从能力到责任:用下一代AI保护全球数字生态系统》的白皮书,直接回应了Claude Mythos Preview引发的网络安全讨论。白皮书指出,先进AI模型正在"显著加速漏洞发现并创造有利于利用的条件",网络安全正处于转折点——这些技术究竟有利于防御者还是攻击者,取决于当下的选择。微软提出五大核心建议:一是强化核心网络安全实践,包括零信任架构、多因素认证和最小权限访问;二是加强部署前风险评估;三是前沿AI开发者、软件供应商和政府之间的紧密协作;四是保护AI系统本身免受攻击;五是建立跨国界的共享标准和韧性框架。
白皮书透露,微软正通过其安全未来倡议(Secure Future Initiative)加强AI时代的安全基础,包括使用AI加速漏洞发现和修复。微软明确表示正与Anthropic的Project Glasswing和OpenAI的Trusted Access for Cyber计划合作,深化公私协作。白皮书强调,"确保先进AI技术用于加强网络安全是可以实现的,但不是自动的"——这需要政府、前沿AI开发者、软件供应商和更广泛生态系统的协同行动。微软还投资了基础性的AI安全研究,包括开发可用于评估模型是否准备好进行实际安全工作的开源行业基准。这一系列动作表明,全球科技巨头正在围绕AI网络安全能力形成新的合作与竞争格局。
1. IT Pro (2026-05-04): Anthropic targets vulnerability detection gains with Claude Security public beta
2. NDTV Profit (2026-05-03): Public Sector Banks To Step Up IT Spending Over Data Security Concerns From Anthropic's Claude Mythos
3. The Next Web (2026-05-04): Euro finance ministers demand Mythos access as Anthropic's AI finds zero-days in every major system
4. Bloomsbury Intelligence and Security Institute (2026-05-03): Claude Mythos and the Acceleration of Cybersecurity Risk
5. Medianama (2026-05-04): Anthropic launches Claude Security for enterprises, but stops short of Mythos-level capabilities
6. The Register (2026-05-04): Five Eyes warn agentic AI is too dangerous for rapid rollout
7. CSO Online (2026-05-04): Security agencies draw red lines around agentic AI deployments
8. Industrial Cyber (2026-05-04): CISA and partners release agentic AI security guidance to protect critical infrastructure
9. Cloud Security Alliance (2026-05-03): Five Eyes Issues First Joint Agentic AI Security Guidance
10. Microsoft On the Issues (2026-05-01): From capability to responsibility: Securing our global digital ecosystem with next-generation AI
关注高促会新质生产力工委会公众号
关注工业智能算网平台
发布日期:2026年5月5日
发布机构:中国高技术产业发展促进会新质生产力工作委员会
本报告仅供行业研究参考,不构成投资建议