2026-04-27 04:51:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 苏黎世联邦理工学院报告称中国360集团的AI漏洞挖掘能力已对标Anthropic的ClaudeMythos模型，披露其累计挖掘近千个漏洞并实现分钟级定位潜伏8年的Office漏洞，但彭博社等媒体质疑其战果存在信源偏向与撞洞争议，揭示AI正加速漏洞挖掘效率并缩短防御方战略预警期。 综合评分： 68 文章分类： AI安全,漏洞分析,威胁情报

cover_image

这家中国网安企业达到 Mythos 级的 AI 漏洞挖掘能力

原创

首席安全官首席安全官

首席安全官

2026年4月26日 08:12 北京

在小说阅读器读本章

去阅读

近日，一份来自苏黎世联邦理工学院（ETH Zurich）安全研究中心的深度报告引发了国际网安界的剧烈震荡。该报告指出，中国网络安全头部企业 360 集团所展现的漏洞挖掘智能体体系，在能力规模上已正式对标全球最尖端的技术基准——Anthropic 旗下的 Claude Mythos 模型。

这一定性不仅将中国 AI 攻防实力推向了国际舆论的风口浪尖，更揭示了全球网络安全正加速进入”机器对抗机器”的激进演进期。

“实战化”优势的博弈

长期以来，AI 漏洞挖掘被视为网络攻防的”圣杯”。本月早些时候，Anthropic公司声称，其新型Mythos前沿模型已自主发现了数千个漏洞。为防止潜在的滥用，Mythos尚未公开发布，仅通过Glasswing项目向数十家大型机构开放。

相比之下，360 集团在 4 月 17 日的官方披露中展现了鲜明的”实战化”底色。360 方面明确表示：”较早启动了漏洞挖掘智能体体系建设并已投入实战应用，相较于美国 Anthropic 公司仍在测试的 Mythos 模型，已形成明显的实战化优势。”

这一宣称得到了西方研究者的高度关注。苏黎世联邦理工学院研究员 Eugenio Benincasa （贝尼卡萨）在报告中分析认为，中国企业通过大规模的实战磨炼，正在漏洞挖掘的响应速度和覆盖维度上填补技术代差。

数字化”战果”：分钟级定位与千洞计划

根据 360 披露的最新数据，这种被西方研究者称为”中国版 Mythos”的体系已交出了一份惊人的成绩单：

核心覆盖：截至目前，该系统已累计挖掘近 1,000 个漏洞，其中经权威机构及厂商确认的高危漏洞超过 50 项，多项属于全球首次公开发现。其触角已延伸至 Windows、Office、国产操作系统、安卓系统及邮件服务器等核心领域。

分钟级突破：其中最具冲击力的案例是 CVE-2026-32190。这是一个在微软Office 中潜伏了 8 年之久的严重漏洞，360 宣称其 AI 仅用数分钟便将其精准定位。这种”分钟级”的效率，确实在表面上营造出了一种 AI 全面接管攻防的震撼感。360 强调，这种从”个体经验驱动”向”体系化能力运行”的转变，使传统需要数月甚至数年的漏洞挖掘周期被极度压缩。另一个则是潜伏近5年的Windows内核提权漏洞为高危系统级漏洞。

争议与疑云：实战突破还是公关包装？

然而，伴随”技术神话”而来的，还有来自全球主流媒体的严厉审视。彭博社（Bloomberg）与专业安全媒体 SecurityWeek 在随后的跟进报道中，对 360 的部分战果提出了技术层面的质疑。

Benincasa （贝尼卡萨）是一位资深的学术研究员，但他的结论也面临着行业内的质疑，这些质疑主要集中在以下三点，也是你在阅读此类”学术结论”时需要保持的警惕：

信源偏向：他的研究材料主要来自于 360 的中文公关稿。对于一个严谨的学术结论来说，将企业的营销口号（如”1,000个漏洞”）直接等同于技术指标，存在被企业”牵着鼻子走”的风险。

忽略”撞洞”争议：彭博社指出，360 宣称由 AI 自主发现的 Windows 内核漏洞 CVE-2026-24293，在微软官方的致谢名单中，已明确将发现功劳归于我国台湾与韩国的研究人员。这种”撞洞”争议，让外界怀疑 360 是否在利用 AI 的概念包装传统的自动化成果。

地缘政治的需求：智库研究员往往需要通过强调”他国威胁”来获得学术关注或经费支持。将 360 强行对标 Mythos，有助于提升该研究报告在西方决策圈的被引用率。

媒体认为，贝尼卡萨是根据 360 释放出的”烟雾弹”和战绩数据，在学术模型中拼凑出了一个”接近 Mythos”的对手形象。这更像是一场基于公开情报（OSINT）的推演，而非严格意义上的实验室技术评测。

因此，贝尼卡萨虽认为360的AI能力看起来相当强大，但也承认，目前似乎还达不到Claude Mythos所描述的推理能力。这位专家认为，更合适的比较对象是谷歌的Big Sleep，它加速了漏洞研究的特定阶段，而不是作为一个完全自主的代理运行。

安全行业正迎来一次”范式迁移”

无论 360 的 AI 是真神话还是假噱头，它都揭示了一个残酷的现实：在 AI 时代，漏洞发现的门槛正在急速降低。防御者与其纠结于对方的 AI 有多聪明，不如先反思自己的防线在面对这种”暴力破解式”的 AI 攻击时，还能支撑多久。

Anthropic 的首席执行官曾表示，开源模型和中国开发者可以在 6-12 个月内复制 Mythos 的性能，云安全公司Wiz的研究人员也表达了类似的观点。这意味着，攻击者即将掌握’秒级’定位陈年漏洞的 AI 利器，国内关键信息基础设施行业的主管部门，正面临一个仅有 6 至 12 个月的’战略预警期’。

在 AI 智能体将漏洞挖掘推向流水线化的背景下，传统防御体系必须在此窗口期内完成智能化转型，以应对即将到来的、海啸般的自动化漏洞挖掘狂潮。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：首席安全官首席安全官首席安全官《这家中国网安企业达到 Mythos 级的 AI 漏洞挖掘能力》