AI漏洞挖掘能力加速演进-数掘云算

AI在漏洞发现与利用开发方面的能力正迅速提升，已经接近甚至超过大多数人类安全研究人员。在算力充足的前提下，AI能够系统性地分析路径，并对目标实施漏洞利用。对于防御方而言，无需过度恐慌，但需要持续关注模型的发展速度——AI能力正以周为周期快速迭代，许多当前看似不可能的事情，可能很快就会实现。

背景

2026年4月7日，Anthropic发布了Claude Mythos预览版和Project Glasswing，并声称单一AI模型已自主发现数千个零日漏洞，覆盖主流操作系统和浏览器。这一消息在业内引发广泛争议，也被不少人视为带有明显营销意味的事件。正如知名安全研究员lcamtuf所言，围绕Mythos及其影响的夸张解读正在迅速增长。

2026年4月9日，据Axios报道，OpenAI计划推出新模型以应对竞争压力。

2026年4月15日，OpenAI发布了一款削弱防护机制的模型。SANS研究所相关负责人表示，这本质上是将现有模型在降低安全限制后重新发布，可能意在增强漏洞研究能力，但相关厂商并未明确说明具体实现方式。

同日，阿里千问Cyber负责人卓越在X平台表示，阿里也将推出类似方向的模型。

同一天，韩国漏洞研究公司Theori发布报告《你不需要Mythos，你需要的是一个系统》，正式加入这一领域的竞争。

Theori报告：《你不需要Mythos，你需要的是一个系统》

执行摘要

2026年4月7日，Anthropic发布Claude Mythos预览版及Project Glasswing，宣称单一模型可自主发现数千个零日漏洞，覆盖主流操作系统和浏览器。这一事件基本结束了业内关于“AI是否能发现真实可利用漏洞”的争论：AI已经具备在生产环境中发现高质量漏洞的能力，包括那些经过多年专家审查和大规模自动化测试仍未被发现的问题。

该白皮书展示了Theori产品Xint Code在相同代码库上的测试结果。通过标准扫描流程，Xint Code不仅复现了Anthropic披露的关键漏洞类型，还识别出所有重点漏洞，并额外发现了12个此前未公开的零日漏洞。

Mythos的意义

Anthropic发布的公告及其Frontier Red Team的技术评估，是目前最系统的公开证据之一，表明AI可以规模化地发现并利用关键软件中的零日漏洞。

在数周测试中，Mythos Preview识别出数千个零日漏洞，其中不少为高危级别，涉及主流操作系统与浏览器。

此外，其在漏洞利用构造方面的能力也明显超过以往模型。

为何早期回应存在偏差

Mythos发布后不久，一些机构声称使用更小、更低成本的模型复现其成果，其中较为典型的是安全初创公司Aisle的博文。

不过，这类结果遭到安全社区质疑，主要原因在于其测试方法仅覆盖漏洞发现流程中的局部环节，缺乏完整性。

Xint Code的方法

测试目标
Xint Code在Anthropic披露的四个代码库上进行测试，重点针对包含展示性漏洞的相关子系统。

测试方式
采用标准扫描流水线运行，即用户可直接使用的默认配置和分析流程。

流水线能力
Xint Code以结构化流程运行，将Anthropic红队所执行的人工步骤转化为自动化能力。