Anthropic没训练它做安全，却用它挖出了上千个二十年前的漏洞

一家银行的安全团队正在复审十年前上线的核心交易系统。他们以为漏洞扫描工具已经跑过三轮，补丁也打了多年。直到 Mythos 接入后三天，弹出一份清单：73个未公开的零日漏洞，其中19个可远程执行任意代码——而这些代码，过去十年里每天都在处理数百万笔资金。

Mythos 是 Anthropic 最新推出的通用大模型，没有专门用网络安全数据微调，但被12家科技巨头（包括苹果、微软、亚马逊、Linux基金会）悄悄接入真实生产环境，用来扫描自家和开源软件中的缺陷。这意味着：检测能力不再依赖垂直领域训练数据，而来自底层推理与代码理解的跃升。

Anthropic 称，Mythos 在几周内发现“数千个零日漏洞”，许多存在于代码中已有一二十年。这意味着：所谓“稳定运行”的系统，可能只是没人再认真读过它的源码；所谓“历史遗留”，往往只是“从未被真正审计”。

更关键的是，Mythos 的能力来自它作为 Claude 系统前沿模型的通用智能——强代理式编程、跨上下文逻辑追踪、自主拆解复杂函数调用链。它不靠规则匹配，而是像资深工程师那样重读整套系统。这意味着：过去需要人肉审计数月的工作，现在模型能以天为单位完成，且覆盖人力难以持续保持的广度与一致性。

Mythos 的名字最早出现在一次数据泄露中：一份叫‘Capybara’的草稿文档被误存进公开可查的数据湖。文档直白写道：“这是比 Opus 更大、更聪明的新一代模型……我们迄今开发过的最强大AI。”而就在同一个月，Anthropic 自己刚因一次发布失误，意外泄露近两万份源码文件，并连带导致数千个 GitHub 仓库被下线。这意味着：最擅长发现他人系统缺陷的团队，其自身工程实践的脆弱性，正与它所释放的能力形成尖锐对照。

别人没注意到，但你可能会意识到：当一个通用模型无需专项训练就能系统性击穿‘已知安全’的假象，真正的分水岭就不是模型多强，而是我们终于没法再假装‘没出事=没问题’了。

现在，那些被 Mythos 标记为‘高危但存在二十年’的函数，正静静躺在某个仍在运行的政府服务后台里。