摘要:《经济学人》转述美国参议员 Mark Warner 的说法称,NSA 和网络司令部负责人曾告诉他,Mythos 在内部红队测试中“不是几周,而是几小时内”几乎攻破全部机密系统。这个说法需要加上测试条件的限定,但它揭示的趋势非常清楚:AI 正在把漏洞发现、路径规划和攻击编排压缩到机器速度,传统安全治理必须重构。
Mythos 被限制使用的故事,正在出现一个更尖锐的解释。
《经济学人》在 6 月 14 日的文章中写到,美国参议院情报委员会副主席 Mark Warner 曾在 6 月 11 日表示,领导美国国家安全局和五角大楼网络司令部的 Joshua Rudd 将军告诉他,Mythos “不是在几周内,而是在几小时内”几乎攻破了他们所有的机密系统[1]。
这句话很容易被传播成一个爆炸性标题:“Mythos 几小时攻破 NSA。”
但更准确的说法应该是:这不是 Mythos 偷偷黑进 NSA,而是在授权内部测试或红队环境中,模型被用于模拟攻击自身系统,表现强到让监管者和国家安全系统重新评估前沿模型的风险边界。
更重要的是,《经济学人》文章作者 Shashank Joshi 随后也公开补充说,这句话不应被过度字面化理解;它很可能依赖 Mythos 与其他工具结合,并发生在特定测试条件下。他表示,原文引用这句话是为了说明 Mythos 的能力强度,但如果当时补充更多限定会更好[2]。
即便加上这些限定,这件事仍然非常重要。因为它说明,AI 在网络攻防中的问题已经不再是“会不会写漏洞利用代码”,而是开始触及一个更深层的问题:
当一个模型能把漏洞发现、路径规划、工具调用和结果验证压缩到机器速度,现有安全治理体系还能不能跟上?
一、不要把它理解成“单模型神话”
首先要拆掉一个误解:这不是一个模型单枪匹马、像电影黑客一样闯进所有机密网络。
真实的网络攻防从来不是单点能力,而是工具链能力。它通常包括资产发现、漏洞识别、权限提升、横向移动、凭证利用、日志规避、结果验证和报告生成。AI 真正改变的,是这些环节之间的编排速度。
Mythos 之所以引发恐慌,不是因为它突然拥有魔法,而是因为它可能把很多原本需要资深安全团队花几天、几周甚至更久完成的链路,压缩到几个小时。
英国 AI Security Institute 对 Claude Mythos Preview 的评估已经给出过类似信号:Mythos Preview 在网络靶场和多步攻击模拟中明显超过此前模型,并成为首个能端到端完成 AISI 某些 cyber range 的模型[3]。AISI 后续还指出,新版 Mythos Preview 能完成两个网络靶场,其中 “The Last Ones” 在 10 次中完成 6 次,“Cooling Tower” 在 10 次中完成 3 次[4]。
这些测试不等于真实世界攻击。AISI 也明确提醒,靶场缺少很多真实企业环境里的主动防御、检测工具和复杂干扰。但这足以说明一件事:前沿模型正在跨过“只能辅助安全研究”的阶段,进入“可以自主推进多步攻防任务”的阶段。
二、为什么“几小时”比“能攻破”更重要
这条消息里最值得关注的不是“攻破”二字,而是“几小时”。
网络安全过去一直是时间竞争。攻击者需要时间寻找入口、防守者需要时间发现异常、修复团队需要时间打补丁、管理层需要时间决策停机或隔离。
AI 改变的是这个时间结构。
过去一个复杂漏洞链可能需要多人协作、反复试错、阅读大量代码和文档。现在模型可以持续阅读代码、生成假设、调用工具、复盘失败、调整路径。只要给它足够上下文、工具权限和运行环境,它就能用远高于人工的速度遍历大量可能性。
这会改变攻防双方的成本曲线。
对攻击侧来说,AI 降低了发现漏洞、组合漏洞和生成利用链的边际成本。攻击者不需要每一步都由专家手写,只要能把目标系统、工具和任务描述组织好,模型就可能放大其能力。
对防守侧来说,传统补丁流程、漏洞评级、资产盘点、人工审计和变更审批都会显得太慢。很多企业仍然按周甚至按月处理补丁,但 AI 攻击链可能按小时推进。
所以 Mythos 事件的真实警示是:安全流程不能继续按人类速度设计。
三、这解释了为什么出口管制会被重新讨论
《经济学人》文章讨论的是美国政府限制外国用户使用 Mythos 5 和 Fable 5 的做法,并批评这种封锁可能显得反复、混乱和政治化[1]。但如果把 Warner 转述的内部测试说法放进去看,政府的担忧也就更容易理解。
过去,美国对加密技术、芯片、EDA、先进制造设备做出口管制,是因为它们能直接改变国家能力边界。现在,前沿 AI 模型也开始被放进类似逻辑里。
原因在于,模型不是单一工具,而是一种通用能力放大器。
一个足够强的网络安全模型,可以帮助防守方发现漏洞、修补系统、自动化审计;也可以帮助攻击方寻找入口、生成 exploit、编排多步攻击。它的双重用途比传统工具更强,也更难通过简单规则切割。
这就是治理难点。你不能简单说“禁止它做坏事”,因为同一项能力在防守和进攻中高度重叠。漏洞发现既能用于修补,也能用于攻击;代码理解既能用于审计,也能用于武器化;自动化编排既能用于安全运营,也能用于横向移动。
所以围绕 Mythos 的争议,本质上不是一个公司和政府的合同纠纷,而是一个新问题:当模型本身成为国家级网络能力的一部分,它还能不能像普通 SaaS 一样全球开放?
四、企业不能只等政府管制
即使 Mythos 被限制,即使某个模型暂时不对外开放,企业也不能因此松一口气。
因为能力扩散不是只发生在一个模型上。
AISI 在评估 GPT-5.5 时就提到,早期 Mythos Preview 在网络任务上已经代表一次跃升,而 GPT-5.5 也显示出类似能力水平;这表明网络攻防能力的提升可能是前沿模型整体趋势,而不是某一个模型的偶然突破[5]。
换句话说,即便今天限制的是 Mythos,明天其他模型也可能接近这个水平。
企业真正要做的,不是追着某个模型名字恐慌,而是重构自己的安全基础设施。
第一,资产管理必须自动化。企业要知道自己有哪些系统、哪些暴露面、哪些依赖、哪些版本,而不是等到事故发生后才盘点。
第二,漏洞优先级必须机器辅助。AI 攻击时代,漏洞数量会爆炸式增加,人类安全团队不可能逐条人工判断,必须结合业务重要性、暴露面、利用难度和补丁成本进行自动排序。
第三,补丁流程必须加速。传统“季度修复、月度窗口”的节奏会越来越危险。企业需要更细粒度的灰度、回滚、自动测试和变更审计。
第四,内部系统必须默认零信任。不要假设内网就是安全的,不要假设服务之间天然可信,不要让一个入口变成全网横向移动的起点。
第五,AI 工具必须有运行时边界。浏览器、命令行、代码仓库、数据库、工单系统、云账户、MCP 控制面,都要有明确权限、审计和沙箱。
五、AI 既是攻击速度,也是防守速度
我们也不应该把 Mythos 事件只理解成“AI 让攻击者更强”。
同样的能力,也会成为防守方的基础设施。
Anthropic 在 Project Glasswing 中提到,Mythos Preview 可用于发现关键软件中的漏洞;Mozilla 在相关测试中修复了大量 Firefox 漏洞,其他安全平台也报告了 Mythos 在 web exploit benchmark 上的显著能力提升[6]。
这意味着未来安全团队的工作方式会改变。
过去安全团队靠人去读代码、跑扫描器、写规则、排工单。未来更合理的方式是:AI 持续做资产发现、代码审计、补丁影响分析、攻击路径模拟和修复建议,人类负责确认优先级、处理业务风险和制定策略。
防守侧也需要机器速度。
如果攻击者用 AI 自动发现漏洞,而防守者还用人工表格排期,结果不会乐观。只有当防守流程同样被 AI 改造,企业才可能抵消攻击侧的效率增益。
这也是 Mythos 事件最有现实意义的地方:它不是提醒大家关闭 AI,而是提醒大家,安全体系本身必须 AI 化。
六、不要被“神话叙事”带偏
Mythos 这个名字本身就容易制造神话叙事。几小时攻破 NSA,听起来像超级智能已经降临。
但工程上更严谨的判断应该是:
它很可能不是一个模型凭空“黑掉”所有系统,而是在特定授权测试条件下,结合工具链、上下文和目标环境,表现出了远超传统预期的攻防推进能力。
这仍然足够严重。
因为安全系统怕的不是神话,而是速度、规模和可复制性。
只要一个能力可以从少数专家扩散到更多团队,可以从手工操作变成自动流程,可以从单点漏洞发现变成多步攻击链编排,整个防守经济学就会改变。
未来几年,企业和政府真正要回答的问题不是“哪个模型最危险”,而是:
- 谁可以使用高能力网络安全模型;
- 使用时能调用哪些工具;
- 任务过程如何审计;
- 输出结果是否可以复核;
- 发现漏洞后如何负责任披露;
- 模型是否能被限制在防守用途;
- 政府、厂商、企业之间如何共享风险情报。
这些问题都没有简单答案。
结语:AI 安全进入“机器速度”时代
Mythos 的故事,无论最终细节如何,已经把一个事实推到台前:前沿 AI 正在改变网络攻防的时间尺度。
过去安全治理默认人的速度。人发现漏洞,人写 exploit,人分析日志,人排补丁,人审批上线。
现在,模型可以读代码、查漏洞、连工具、跑实验、写报告、复盘失败,并持续推进。
这不意味着每个系统都会立刻失守,也不意味着人类安全专家失去价值。恰恰相反,越是进入 AI 攻防时代,安全专家越要把经验转化为自动化流程、策略边界和验证体系。
真正危险的不是 Mythos 这一个名字,而是企业、政府和软件供应链还没有准备好面对机器速度。
如果模型能在小时级发现问题,防守体系就不能再用月度节奏响应。
AI 安全的下一阶段,不是多买一个工具,而是重构从资产、漏洞、权限、补丁到审计的整套流程。
参考资料
[1] The Economist, “Donald Trump’s blocking of Anthropic is capricious and chaotic”, 2026-06-14, https://www.economist.com/briefing/2026/06/14/donald-trumps-blocking-of-anthropic-is-capricious-and-chaotic
[2] Shashank Joshi 对该引文的补充说明,转引自 Digg 汇总页,https://digg.com/tech/mno1ygvv
[3] UK AI Security Institute, “Our evaluation of Claude Mythos Preview’s cyber capabilities”, 2026-04, https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
[4] UK AI Security Institute, “How fast is autonomous AI cyber capability advancing?”, 2026-05, https://www.aisi.gov.uk/blog/how-fast-is-autonomous-ai-cyber-capability-advancing
[5] UK AI Security Institute, “Our evaluation of OpenAI’s GPT-5.5 cyber capabilities”, 2026, https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities
[6] Anthropic, “Project Glasswing: An initial update”, 2026, https://www.anthropic.com/research/glasswing-initial-update