文章总结： 文章基于十年漏洞检测经验分析Anthropic的Mythos模型，指出漏洞数量激增并非核心威胁，真正挑战在于误报率管理和AI代理引入的新型攻击面。作者强调行为检测比机器学习异常检测更稳定，建议防御者聚焦结构性规则而非追逐单个漏洞，并警示AI权限滥用可能导致的隐蔽攻击。 综合评分： 82 文章分类： 漏洞分析,AI安全,安全运营,威胁情报,安全建设

分析 Mythos：为什么十年检测经验让我觉得漏洞数字没那么可怕

幻泉之洲

2026年5月6日 17:16 北京

在小说阅读器读本章

去阅读

Anthropic 的 Mythos 模型声称能大量发现漏洞，引发行业担忧。但根据一位拥有近十年检测逻辑编写经验的工程师分析，这远非世界末日。本文深入探讨了漏洞检测的真实逻辑、误报率的致命性、机器学习在检测中的局限性，并指出比漏洞数量更令人担忧的，其实是AI代理本身带来的新型攻击面与权限风险。

别被数字吓到，游戏规则一直如此

Anthropic的营销团队最近在力推他们新的网络安全模型Mythos，以及它发现的大量漏洞。Mozilla那边说这些发现看起来是站得住脚的。如果这个势头在短期内持续，行业内外很多人确实有理由感到担忧，甚至在想这是否会成为新常态。

作为一个给网络安全厂商写了将近十年检测逻辑的人，我得说，这些数字远没有看上去那么吓人，更谈不上世界末日。

我管过安全运营中心（SOC），日常跟国家级黑客过招，我们团队还因此拿过国防反情报局的科格斯韦尔奖。我为一家财富100强公司做过企业级规模的检测，那种规模是大多数工程师没见过的。我还发表了业界第一篇关于“检测即代码”的白皮书。说这些是想告诉你，我在这行待的时间不短。

虽然我认为像Mythos这样的模型短期内会造成冲击，但我同样觉得，情况绝没有大家渲染得那么糟。

漏洞发布速度从来就比检测编写快

写检测逻辑从来就是一场打地鼠游戏。David Bianco的“痛苦金字塔”——我们行业的基础文献之一——说的就是这个。你得依靠行为检测，而不是盯着单个的攻击指标或漏洞利用，因为新的漏洞披露速度，永远比防御者编写规则的速度快。

针对单个漏洞的检测，并不是检测工程师花费大部分时间的地方。当然有人在做。ET Open规则集就很好地展示了针对历史CVE的独立规则有多少。规则通常只为那些重大漏洞、针对你所在行业活跃使用的攻击手段，以及少数能通过自动化廉价完成的工作而编写。

黑客根本用不着那么多零日漏洞

威胁攻击者们其实并不需要零日漏洞就能搞定目标。几十年来，老的攻击手段一直挺好用。比如眼下最普遍的初始访问技术之一，ClickFix，就完全不依赖零日漏洞。它只是诱骗用户把恶意代码粘贴到PowerShell或运行对话框里，然后让他们自己执行。

检测逻辑和漏洞并非一一对应

给没写过检测逻辑的人举个我最喜欢的例子，来说明为什么行为检测比基于签名的单个漏洞或攻击指标狩猎更有效：微软Office的远程代码执行漏洞。

过去二十年里，像Word和Excel这样的Office产品，产出了行业内一些影响最大、滥用最广的漏洞，超过1000个不同的远程代码执行CVE，而且还在增长。

尽管这些漏洞普遍且影响巨大，但要检测其滥用行为，却比想象中容易得多。

举个例子，2022年微软修改了默认设置，来自互联网的Office文档（即带有“网络标记”的文档）将不再运行宏，需要用户右键点击文档选择“解除锁定”，或在PowerShell中运行Unblock-File命令。有人可能认为这是漏洞缓解或加固措施，而非检测。我不同意。从检测工程师的角度看，在微软做这个改动之前，我完全可以为同样的行为编写一个自定义检测器。微软实施这个改动后，基于宏的恶意文档投递数量就大幅下降了。

这一点，再加上现代终端检测与响应工具让行为画像变得容易，让你可以为某些行为建立基线和检测，比如Office文档生成子进程——这是Office文档执行代码的标志性行为。和前面的行为类似，这极大地降低了威胁攻击者通过Office文档成功执行代码的能力，无论他们用的是哪个漏洞。

把这两种行为叠加起来，成功的代码执行就变得指数级困难。你还可以在此基础上叠加更多层，比如PowerShell执行从网上下载的.ps1文件。

作为检测工程师，我的工作就是叠加足够多的行为，当其中一个行为触发时，其他行为能提高它是真正恶意的置信度。这通常通过将其与基于风险的告警模型中的分数挂钩来实现，每一个新的检测都提高了恶意活动的累积可能性。

机器学习与异常检测很可能不是答案

各家机构现在有点手忙脚乱，因为头条新闻都在说蓝队要完蛋了，就连成熟的检测团队也不例外。大多数人都在寻求从独立的行为检测器转型到基于机器学习的模型。我认为这是个错误，而且有研究可以佐证。

早在当前这波AI浪潮之前，安全研究界的两篇论文就已经阐述了反对基于机器学习的入侵检测的理由（任何一个在SOC干过的人，不需要看论文也明白这个道理）：

• Robin Sommer和Vern Paxson的《封闭世界之外：论在网络安全入侵检测中使用机器学习》（Outside the Closed World: On Using Machine Learning for Network Intrusion Detection）
• Stefan Axelsson的《基础比率谬误与入侵检测的难度》（The Base-Rate Fallacy and the Difficulty of Intrusion Detection）

Sommer和Paxson的批评有五个要点，但这里只有三点真正关键。

第一，机器学习擅长分类，即决定一个输入属于几个已知类别中的哪一个。异常检测则把问题颠倒了。你用良性流量训练系统，然后要求它标记所有“不符合”的流量。他们引用的教科书称之为“封闭世界假设”，并明确指出这在现实问题中用处不大。垃圾邮件分类之所以有效，是因为垃圾邮件和正常邮件都可以被训练。推荐系统之所以有效，是因为它们呈现的是相似项，而非全新项。网络入侵检测则是相反的问题。

第二，网络流量的多样性。真实流量是重尾的、突发的，并且在所有有操作意义的时标上都是可变的。根本没有稳定的“正常”状态可供学习。一个三月份表现良好的模型，到了六月份就会开始偏移，因为应用组合变了，员工工作地点变了，新的SaaS工具上线了，或者一个重大节日改变了用户行为。这种偏移会推高误报率，而Axelsson告诉我们，误报率是你最不能让它升高的东西。

第三，他们所谓的“语义鸿沟”。即使异常检测器正确标记了某些东西，它也只能告诉分析师某个事件“不正常”，而无法告诉分析师它是恶意的、它想做什么、或者应该怎么处理。分析师仍然需要自己来判断这个不正常的事件是否重要。在真实的SOC中，这项工作才是瓶颈。

如果你非要在这一领域使用机器学习，Sommer和Paxson给出了几条实用的好建议。

他们的第一个建议，也是我认为最重要的一个，是理解系统到底在做什么。PEAK威胁狩猎框架详细介绍了如何执行结构化的威胁狩猎，这既能帮助记录，也能帮助你达到这种理解。

第二个建议是，尽可能缩小范围。不要要求模型检测广义的“攻击”，要求它检测一个具体的、明确定义的活动。

第三个建议，也是最容易被忽略的。他们认为，机器学习通常作为特征发现工具比作为检测器本身更有用。意思是，你用机器学习来发现良性和恶意流量的哪些特征携带了最多的信号，然后基于这些特征建立一个非机器学习的检测器。

另一个相关的点是他们引用的《基础比率谬误》论文中的内容：

在入侵检测中，任何错误分类的相对成本，都比许多其他机器学习应用高得多。一个误报需要花费昂贵的分析师时间去检查报告的事件，最终却可能发现它只是良性活动。正如Axelsson所言，即使误报率非常低，也足以让一个网络入侵检测系统变得不可用。

在我看来，这篇论文是检测工程师的必读文章。为了理解它为何得出这个结论，我们用一个简单的例子来分析一下。

假设一个小环境每天产生一百万个事件，其中每天有两次实际入侵。假设每次入侵产生十个事件，意味着一百万个总事件中有二十个入侵事件。任何一个给定事件是入侵事件的概率是 20 / 1,000,000 = 0.00002。正是这个微小的概率，使得误报率成为衡量一项检测逻辑有效性的最重要指标。

检测率和误报率经常被混淆，被认为是相反的，但其实不是。检测率是真正例与实际入侵事件的比值，而误报率是误报与实际良性事件的比值。这两个数字可以独立变动。误报率之所以最终成为主导，不是因为它在某种抽象意义上更重要，而是因为良性事件的数量大约是入侵事件的50,000倍。完美的检测率也只能给你带来20次命中，因为只有20个入侵事件可以命中。误报率为0.001就会产生一千次误报，因为有接近一百万个良性事件可以被触发。误报率要乘以的数字，比检测率乘以的数字大得多。

计算真正例率： TPR = 真正例 / 实际入侵事件。用我们的例子，20 / 20 = 1.0（完美检测器抓住了全部20个入侵事件）。

计算误报率： FPR = 误报 / 实际良性事件。用我们的例子，FPR是0.001： 1,000 / 999,980 ≈ 0.001。

如果检测率是1.0（完美检测器），误报率是0.00001，你就能捕获全部20个入侵事件作为真正例。同时，你还会在良性流量上产生大约10个误报，因为 1,000,000 × 0.00001 = 10。总共30个警报里有20个是真的。贝叶斯检测率大约是66%。

把误报率提高到0.001——这在纸面上听起来仍然不错——告警队列就爆炸了。20个真正例没变，但误报数量暴增到 1,000,000 × 0.001 = 1,000。总共1020个警报里只有20个是真的，大约2%。

这2%比看上去更残酷。这2%是分析师队列里任何一个单一警报属于真实入侵事件的概率。不是“2%的入侵被检测到”。从技术上讲，两次入侵都在告警队列里，如果检测率完美，你至少会对每次入侵的一个事件发出警报。

问题是，分析师如果不逐个处理所有1020个警报，就无法分辨哪20个是真的。他们会在1000个误报的海洋里淹死，只为找到那20个真家伙。每个警报的可信度太低，无法据此采取行动，尽管入侵确实被检测到了。

分析师在一周内就会学会忽略这个系统。这就是为什么杀死你的不是检测率，而是误报率。

行为检测的偏移更少

一个范围界定良好的行为规则，其关键点在于某种没有合法业务目的的行为，而“没有合法业务目的”这个属性很少发生偏移。我反复举的例子是winword.exe生成powershell.exe。几乎没有哪个工作流程需要Word去启动一个脚本解释器。2014年的医院网络如此，2026年的律师事务所也是如此。流量可以翻倍，员工可以远程办公，新的SaaS工具可以上线，但这条规则的误报率很少变动。这些变化都不会产生winword.exe → powershell.exe这种组合。

这就是一条规则能够达到Axelsson数学模型真正要求的低误报率，并保持在那里的原因。检测器不是从当前流量中学习什么是“正常”，而是定义了系统的一个结构性事实。机器学习异常检测没有这个属性。它的“正常”只是其训练所用流量的一个快照，当环境发生变化时，误报率就会飙升，这不是因为发生了任何恶意行为，而是因为基线移动了。每次偏移都意味着一次重新训练，而每次重新训练都是提高你误报率的一次机会。

防御者同样拥有AI和大模型

防御者也能用上同样的模型。就像漏洞开发者寻找零日漏洞一样，蓝队正在用它们来识别新的行为，并更快地处理他们的行为检测积压任务。而且如上所述，检测与漏洞并非一一对应，即使是零日漏洞也不例外。

虽然我对异常检测和机器学习用于检测工程持批评态度，但它们确实有自己的用武之地。正如Sommer和Paxson的论文所指出的，当针对特定、范围明确的用例时，它可以起作用。这不是“要么用AI/ML，要么用行为检测”的二元选择，而是两者并用。

大模型真正让我害怕的，不是漏洞激增

我对大模型最大的担忧，不是新漏洞的激增，而是那些尚未被充分理解的攻击面的增加，以及这些AI代理所被赋予的访问权限级别。

我也担心AI代理会让异常检测系统更容易产生误报，因为它们天生就不具备确定性。

举个例子，对于非技术岗位的员工来说，开始使用这些AI代理很可能成为新常态。如果会计部门的某位员工被提示注入攻击，AI代理被指示使用该用户的合法浏览器cookie发起一笔电汇，这就会变得很难检测。而且因为不是用户自己在执行任务，他们甚至可能不知道这件事正在发生，或者无法告诉安全团队这是否是故意的。

总结一下

短期内，我认为漏洞获取的便利性增加会对防御者产生负面影响，而行业和防御工具需要时间追赶。大多数机构仍在摸索如何使用大模型进行检测，而这通常远比漏洞开发要复杂得多，环境动态多变，高质量的训练数据也很难获得。

长期来看，我认为新漏洞和新检测之间的差距会开始拉平，尽管两者的关系从来就不是一一对应的。我真正担心的不是漏洞数量，而是这些AI代理被赋予的访问权限级别，以及它们所引入的攻击面至今仍未得到充分理解这一事实。

核心观点：漏洞发现的自动化提速确实会带来短期阵痛，但攻击与防御的对抗本质并未改变。防守方真正的挑战，始终是管理海量数据中的误报率，以及应对由AI代理自身模糊性所催生的、难以理解和检测的新型攻击模式。恐慌无益，理解规则，加固行为检测的根本逻辑，才是正道。

参考资料

[1] https://www.magonia.io/research/why-a-decade-of-writing-detection-logic-makes-the-mythos-exploit-numbers-less-scary/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《分析 Mythos：为什么十年检测经验让我觉得漏洞数字没那么可怕》