文章总结： 文章分析AI工具Mythos在漏洞发现领域的进展，指出其通过资金替代人力降低规模化漏洞发现成本，但强调漏洞发现仅是攻击链一环，后续利用、路径识别等仍需人工判断。防御侧真正挑战在于漏洞优先级判定与修复成本，建议企业部署可演进AI防御系统，实现人机协同运营模式转型。 综合评分： 75 文章分类： 漏洞分析,AI安全,安全运营,威胁情报,安全建设

Mythos找到了漏洞，但接下来才是噩梦的开始

原创

天御 天御

天御攻防实验室

2026年4月22日 09:18 广东

在小说阅读器读本章

去阅读

Mythos通过用资金投入替代人力投入，使得规模化漏洞发现的成本更低。但发现漏洞仅仅是实际操作中的一个环节。攻击者仍然需要判断该漏洞在特定企业环境中是否可利用，识别出一条可行的攻击路径，获得必要的访问权限，并在真实环境中成功将漏洞武器化投入实战。仅仅因为一个模型发现了软件漏洞，上述任何一步都不会因此变得容易。

别总说“天哪，AI在重要系统里找到了漏洞，一切马上就要完蛋了”——并不会完蛋。举例来说，几年前谷歌发明了一个叫Address Sanitizer的工具，其任务是在大规模范围内对重要程序进行主要网络安全漏洞的狩猎，迄今为止它已经在几乎你使用过的每一款软件中发现了数十万个漏洞。有人敢打赌，Address Sanitizer发现的网络安全缺陷数量至少比Mythos高出一个数量级（很可能是两到三个数量级），而且覆盖的程序范围更广，且当时软件整体的安全卫生状况更差、更新频率也更低。

“Mythos”具有重要意义。它是人工智能辅助漏洞发现领域向前迈出的重要一步。但这并不意味着网络安全在一夜之间发生了根本性改变，也不意味着企业明天就会突然面临大规模、全自动化的网络攻击。

“Mythos”是一个长期趋势中的最新进展。未来几年，预计同样的模式将会重复：渐进式进步，然后是一次飞跃；渐进式进步，然后是一次飞跃。模型的能力将随着每个周期变得更强大、成本更低廉，而每一次飞跃，都会给那些仍然以“人的速度”运作的安全团队带来更大的压力。

“Mythos”证明，人工智能能够以前所未有的深度发现软件漏洞。这是实实在在的进步，应予以严肃对待。然而，这并非意味着人工智能突然让企业入侵变得廉价、简单或自动化。即使在 Anthropic 自己提供的示例中，发现一个关键漏洞的成本也是相当可观的。其中一个例子提到，识别一个重要的 OpenBSD 问题花费了大约 2 万美元的代币成本。

“Mythos”通过用资金投入替代人力投入，使得规模化漏洞发现的成本更低。但发现漏洞仅仅是实际操作中的一个环节。

攻击者仍然需要判断该漏洞在特定企业环境中是否可利用，识别出一条可行的攻击路径，获得必要的访问权限，并在真实环境中成功将漏洞武器化投入实战。仅仅因为一个模型发现了软件漏洞，上述任何一步都不会因此变得容易。

而在防御侧，“Mythos”至今未能解决企业面临的更为棘手的问题：我如何知道这个漏洞在我的环境中是否真的可利用？在不影响业务的前提下，最有效的修复方法是什么？

企业真正的难题不在于发现漏洞，而在于确定优先级和采取行动。安全负责人感到棘手，不仅仅是因为漏洞存在，而是因为判断哪些问题重要、哪些漏洞可利用、哪些可以暂缓、哪些可以安全修复，这些操作成本是巨大的。

如果一家大型企业得知在广泛使用的软件中发现了一个关键漏洞，下一步并非魔法般的自动解决，而是要面对一连串痛苦的操作性问题：他们在哪里运行该软件？版本是什么？是否存在现实的攻击路径？以及更多类似的问题。

“Mythos”几乎没有改变真实企业在回答上述问题时所付出的防御成本。正确的经验教训是：做好准备。

市场对人工智能常犯的错误之一是，假设每一项新能力都意味着一切将彻底改变。正确的做法是，从现在开始部署防御性的人工智能系统，这些系统在当下就要有用，并能够随着时间的推移不断改进。对大多数企业而言，这意味着要寻找那些有助于改进告警调查、威胁狩猎和漏洞管理的人工智能产品；这些产品应具备完整的审计能力，能够接入企业数据并进行推理以提供组织上下文，并随着模型生态的成熟而演进。

当前的目标是，为未来能够安全地实现更多工作自动化，现在就打下运营基础。

今天，防御者需要的系统能够让人类在机器协助扩大规模的同时，依然保持参与其中。随着时间的推移，这种参与方式将会改变。分析师将减少自己从事重复性工作的时间，而将更多时间用于编排、审阅和改进自动化工作的执行方式。

最终，某些工作流将需要批量审阅，而非逐个操作。当响应速度达到机器级别时，人类可能不再审批每一个单独的修复操作。相反，他们需要一个控制中心视图来观察模式：系统今天做了什么，哪些有效，哪些无效，以及明天应做哪些调整。

这与“用机器替代分析师”的简单化想法截然不同。

真正的未来是：人类从手动执行每一项任务，转变为监督系统、制定策略、审阅模式，并控制能力日益增强的智能体如何运作。

“Mythos”是一个警示。并非因为它意味着天要塌下来，而是因为它指明了攻击侧的发展方向。防御侧应当据此采取行动，并且刻不容缓。

参考资料：

https://cyberscoop.com/anthropic-mythos-vulnerability-discovery-op-ed/

推荐阅读

闲谈

1. 中国网络安全行业出了什么问题？
2. 国内威胁情报行业的五大“悲哀”
3. 对威胁情报行业现状的反思
4. 安全产品的终局
5. 老板，安全不是成本部门！！！

美国网络政策与战略专题

1. 独家解读新版《美国网络战略》释放的危险信号
2. 首发 | 特朗普政府对华网络政策评估
3. 首发 | 美国国防部网络战略的演变
4. 美国政府网络政策观察（第一期） | 美国国防部将腾讯等中国公司列入”涉军企业清单”
5. 特朗普上台，中美会发生网络战吗？
6. 疯狂！美国安会网络官员扬言要对网络攻击者使用致命武力
7. 美军新增10亿美元预算用于对华进攻性网络战
8. 白宫闭门会议：授权美国私营部门进行网络攻击
9. 特朗普政府正在推动授权私营部门进行网络攻击的法案！！
10. 美国公司是我们需要重视的下一个网络威胁

威胁情报

1.威胁情报 – 最危险的网络安全工作 2.威胁情报专栏 | 威胁情报这十年（前传） 3.网络威胁情报的未来 4.情报内生？| 利用威胁情报平台落地网空杀伤链的七种方法 5.威胁情报专栏 | 特别策划 – 网空杀伤链 6.以色列情报机构是如何远程引爆黎巴嫩传呼机的？ 7.对抗零日漏洞的十年（2014～2024） 8.零日漏洞市场现状（2024）

APT

1. XZ计划中的后门手法 – “NOBUS”
2. APT研究顶级会议
3. 十个常见的归因偏见（上）
4. 抓APT的一点故事
5. 揭秘三角行动（Operation Triangulation）一
6. 闲话APT报告生产与消费
7. 一名TAO黑客的网络安全之旅
8. NSA TAO负责人警告私营部门不要搞“黑回去”
9. 我们为什么没有抓到高端APT领导者的荷兰AIVD
10. 抓NSA特种木马的方法
11. 美中央情报局（CIA）网络情报中心

入侵分析与红队攻防

1. 入侵分析与痛苦金字塔
2. 资深红队专家谈EDR的工作原理与规避
3. TTP威胁情报驱动威胁狩猎

天御智库

1. 独家研判：五眼情报机构黑客纷纷浮出水面
2. 美军前出狩猎并不孤单，美国网络外交局优先事项分析
3. 《国际关系中的网络冲突》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天御攻防实验室 天御 天御《Mythos找到了漏洞，但接下来才是噩梦的开始》