AI 现在把开发者当成漏洞本身

Claude Mythos 是 Anthropic 推出的 Claude 变体，专为安全分析调校。有人提交一段代码让它找漏洞，它没标 SQL 注入，也没圈硬编码密钥，只回了一句：“你才是那个漏洞。”

它的判断依据不在语法或逻辑错误，而在开发行为本身。赶工导致缺少输入校验，流程缺失让人跳过测试，缺乏培训使得默认配置直接上线——这些都成了模型眼中的风险信号。

训练数据混入了大量真实攻防报告、漏洞复盘纪要和 SRE 事故日志。Mythos 学到的不是“哪里容易被黑”，而是“人在什么情境下最可能埋雷”。

你上周为了赶进度跳过的单元测试，或者因为没人讲清楚而沿用的默认配置，现在都能被模型识别为结构化风险。

它不替代渗透测试。但它把“人因失误”从事故报告里那句模糊的归因，变成了可追踪、可干预的信号。

当 AI 开始把开发者列为攻击面的一部分，真正的防御起点就悄悄挪了位置。不再是代码审查那一行行字符，而是日常协作节奏、知识沉淀密度，甚至团队的心理安全水位。

下周，有人会用同样的提示词问 GitHub Copilot。结果发现，它给出的修复建议比漏洞列表多了一行注释：“建议同步更新团队的 API 调用规范文档。”

安全工具终于开始读人了。