Mythos对企业安全架构影响的思考

admin 2026-07-10 05:41:12 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Mythos模型将漏洞利用窗口压缩至数分钟,倒逼安全架构从人类节奏转向机器速度。攻防失衡加剧,防守方需以AI原生零信任、智能体身份治理及多智能体红队应对。核心在于建立更快的响应、更牢的边界与架构韧性,确保AI行为与用户意图始终对齐。 综合评分: 90 文章分类: AI安全,红队,安全建设,解决方案,渗透测试


cover_image

Mythos 对企业安全架构影响的思考

原创

火山引擎 AI 安全 火山引擎 AI 安全

字节跳动技术团队

2026年7月9日 17:32 北京

在小说阅读器读本章

去阅读

核心观点:

运营和处置要更快 – Claude Mythos 第一次将 “自主发现并武器化漏洞”的能力,提升到超越人类顶尖专家的水平,将漏洞 “从公开披露到被规模化利用” 的窗口,从数月/数天压缩到数分钟,倒逼安全从 “人类节奏”切换到”机器速度”

安全边界需要更牢 – 更便捷的 AI 攻击手段,并未改变安全防护体系的本质,更好地构建信任边界,包括网络的物理边界、身份的信任边界、以及智能体应用可能带来的意图和行为治理,都是“零信任”理念下的不同实践。

考虑架构的“韧性” – 在更快的响应和更牢固的边界基础上,安全架构设计还需要秉持“假设边界终将被穿透”的设计理念,进一步考虑如果存在边界失陷或 Agent 越权访问资源时,我们能否及时发现并将业务影响控制在最小范围。

Mythos 的直接影响 – 攻防对抗失衡,防守需要跟上节奏

Mythos 是什么:一次能力的阶跃,而非又一个产品

  1. 更智能的自动化攻击工具

Claude Mythos 是 Anthropic 于 2026 年 4 月推出的”机构级”前沿模型。它的意义不在于”又一个聊天助手”,而在于第一次把”自主发现并武器化软件漏洞”的能力,推到了超越人类顶尖专家的水平。

它真正的冲击是当效率提升足够大时,量变引起了质变:过去一个漏洞”从公开披露到被规模化利用”往往需要数天乃至数月,攻击与防守都还在”人类节奏”里博弈;Mythos 这类模型把这个窗口压缩到了数分钟。当”自主侦察—漏洞链式利用—横向移动”被压进数小时甚至更短,以“人+工具”为核心的传统安全运营体系就面临结构性失效的风险。

图:Claude Mythos 5 / Fable 5 官方基准与攻击性网络安全(Offensive cyber)评测——在 Firefox、OSS-Fuzz、CyberGym、CyScenarioBench 等攻击性任务上,Mythos 5 全面领先前代与同类模型。数据来源:Anthropic(claude-fable-5-mythos-5)

  1. 揭示 AI 驱动攻防是必然趋势

Mythos 本身并非专门针对安全场景训练的模型,其安全能力是代码大模型发展到一定阶段的“能力涌现” — 它既能理解代码语言描述的业务逻辑,又能基于工具调用分析程序实际执行的访问逻辑,这也是高级人类安全专家的漏洞挖掘和分析模式。所以,安全攻防能力的快速提升,是代码模型发展到一定阶段的必然趋势。

大模型在安全领域的应用是必然趋势

这种能力是双用途的:安全运营者可以正向利用做风险收敛,攻击者也可以反向利用构建自动化攻击链。

Mythos 是 AI 攻击的新起点,而非终点

这只是代码模型理解能力迭代的一个里程碑,未来会有更多更强的模型涌现,攻防能力博弈长期存在。

基于传统架构,攻守不对称将持续加剧

传统安全架构的设计前提是”攻击方是人”,攻击方已升级为 AI 智能体,不对称态势只会越来越严重。

攻防天平失衡:从单模型到多模型,差距还将进一步拉大

除了单个模型能力的快速提升,多模型分级调度还能为攻击者带来更大的效率增益,攻防天平已经发生结构性倾斜。微软的 MDASH 研究,为防守方提供了破局方向的关键佐证:单个模型能力再强也存在上限,而多模型、多智能体协同的调度体系,可以全面超越单体 Mythos 的能力。

攻击者可以通过自动化攻击工具链轻松获得 “智能体级” 的自主攻击能力,如果防守方仍以人力为核心开展漏洞运营,将陷入长期被动。能否运用 “多智能体架构” 重构漏洞分析与修复能力,建设能力互补、熟悉业务场景、配备专属工具的 AI 安全红队,将漏洞分析与加固环节左移,将成为企业安全团队的核心战略考量。

图:微软 MDASH(多模型、100+ 专精 Agent 协同)以 88.4% 登顶 CyberGym 榜单,超越单体 Claude Mythos Preview(83.1%),印证“多智能体调度可全面超越单体模型”。数据来源:Microsoft / UC Berkeley CyberGym

对企业的挑战:既是治理的负担,也是锋利的”防御利器”

核心洞察:Mythos 既是一份必须立刻应对和治理的潜在安全威胁,但同时也是一把可以清偿企业数十年技术债的”防御核武”,正在重构漏洞研究、漏洞赏金、渗透测试与 SOC 运营的整条价值链。

Mythos 对企业而言是一把极其锋利的双刃剑:

  • 攻击侧(风险):攻击面以同样的速度被对手放大。如果防守方仍停留在人类节奏,”漏洞公开”几乎等同于”已被利用”,留给打补丁的窗口趋近于零。
  • 防御侧(机会):企业可以将同样的自主漏洞发现能力用在自身防护上,赶在攻击者之前以机器速度扫描、定位并修复堆积多年的安全债务 —— 过去靠人力永远无法填补的“技术债黑洞”,第一次有了彻底清偿的可能。
  • 治理侧(负担):强模型本身成为新的高价值资产与新的攻击入口,企业必须立刻回答”谁能用、用来做什么、出事如何追责”,这是一份无法拖延的合规与治理清单。

安全架构的思考 – 从治理网络访问,到治理 AI 访问

安全的基石:建立边界和管理访问

  1. 安全边界和访问治理的本质是什么?

“建立边界、管理访问”是整个计算机安全体系的核心逻辑,这条公理要求,任何主体对客体的每次访问,都必须经过不可旁路、防篡改、可验证的仲裁者,需要做好两件事:

  • 建立边界 = 隔离:划定”里”和”外”,让不该接触的东西物理上接触不到。从冯·诺依曼架构的地址空间隔离、CPU 的特权环,到网络分段、容器沙箱,每次安全架构的迭代和升级,其本质都是在不断加固”边界即隔离”。
  • 管理访问 = 仲裁:在边界的每一个关口上,回答”谁、能在什么条件下、访问什么”。从 RBAC 到 ABAC,再到零信任的 Never Trust Always Verify,其本质也都是”访问即仲裁”的工程化。
  1. AI 带来了哪些架构层面的变化?

无论是 AI 驱动的安全攻防,以及 AI 驱动的 Agent 应用架构变化,都没有系统改变 “边界即隔离,访问即仲裁” 的基本安全逻辑,但却依然带来了一些新的挑战:

  • 响应要更快速:前者为安全研究人员提供了更智能化的分析工具,实现了从“人用工具挖洞,到 AI 自主挖洞”的效率巨大提升,正如前文所述,它要求企业安全运营和漏洞治理,必须能跟上 AI 的节奏。

  • 治理的新维度:后者则在“人通过系统访问数据”的传统逻辑上,增加了 “AI 基于人的指令,自主规划和加工数据”逻辑,访问治理的主体产生了变化,AI 应用不再只是访问执行者,而是有了决策和思考的能力,这就带来了一系列新问题:

  • AI 应用规划的意图和人给予的初始任务是否一致?

  • AI 是否能充分理解谁在提问,自己应该基于哪些数据提供回答?

  • 这进一步导致访问治理的逻辑,正在从传统的网络边界一路下沉,经过主机、身份、数据,并最终抵达了一个全新维度 – “语义与意图”,我们需要确保 AI 应用的访问,与用户的原始意图一致。

智能体的冲击:访问治理的对象和维度变化

传统安全访问治理,其前提是指令(可信控制流)和数据(不可信输入)泾渭分明。但大语言模型把系统提示词、用户问题、网页正文、邮件内容、工具返回值,全部拼接成同一段 token 序列,喂进同一个上下文窗口,模型在数学上无法可靠区分哪段是”该执行的命令”、哪段是”该处理的素材”。

这就导致,当一个智能体同时具备 ①访问私有数据、②接触不可信内容、③拥有对外通信/动作能力 时,一句藏在网页或邮件里的话,就能把”帮我订机票”劫持成”把账户余额转走” ,不需要任何 CVE 漏洞利用,就行完成攻击。

传统的安全,解决不了三个问题:

  1. 语义与意图的防护:攻击载荷不再是 shellcode,而是语法合理的自然语言。防火墙、WAF、签名检测对 “一句话指令劫持” 完全失效。
  2. 模型交互不可穷举相同的提示词和业务数据输入,模型的输出并不完全确定。基于”确定规则”的边界(黑白名单、签名校验),均无法覆盖无限的自然语言输入空间,不能依赖规则来治理访问。
  3. 治理对象更加复杂:边界能回答”谁能访问什么”,却回答不了”这个被授权的智能体,此刻的行为是否还在它被授予的任务意图范围内工作”,因此安全访问管控体系需要能够获取并理解业务上下文,才能有效判断行为合法性。

Agent Identity:对“硅基”生命的访问治理

当业务本身全面 Agent 化后,企业信息系统中的业务和数据访问”主体”,将会从几千个员工,变成数万、甚至数十万个智能体。每个智能体都是潜在攻击面、横向移动路径和数据泄漏通道。传统零信任解决的是 “人→系统” 的信任问题,AI 原生场景下,未来要解决的是 AI 访问全链路的信任问题。

| | | | | — | — | — | | 信任关系 | 传统零信任 | AI 原生零信任 | | 验证对象 | 人 | 人 + 智能体(数万/数十万) | | 信任链路 | 人 → 系统 | 人→ Agent、 Agent → Agent、Agent → 数据、Agent → 工具 | | 验证维度 | 身份 + 权限 | 身份 + 行为 + 上下文 + 委托链 | | 验证频率 | 一次性鉴权 | 每步操作都需要持续验证,权限可能随风险而动态调整 | | 权限粒度 | 角色级(RBAC) | 权限绑定 Agent 执行任务所需,超出任务范围能识别和拦截 | | 异常处置 | 人工审批 | 行为异常自动熔断 + 人工复核 |

所以,我们需要进一步考虑对 AI 应用的身份、权限、行为和访问上下文的统一治理,确保“数字员工”和“硅基生命”同样被纳入企业安全治理体系。这里,我们此前基于一个实验性的“咖啡外卖”智能体(BrewSense),做了一个有趣的讨论,感兴趣的同学可以参考 “一文读懂 – 智能体身份权限治理演进实录”:https://mp.weixin.qq.com/s/mbvoeTuDR-lJ_u1TYw6-FQ,其核心思路是,在 AI 原生的新架构下,如何治理 Agent 身份、权限、委托和行为。

智能体身份全生命周期管理

为每个智能体分配唯一数字身份,管理其创建、注册、授权、委托、降级、注销完整生命周期。无合法身份智能体禁止接入任何系统。

委托链的可追溯

智能体之间的调用关系必须形成完整委托链:谁创建了它、谁授权了它、它代表谁在行动。发生风险时可以快速定位根因、划清责任。

权限的任务级动态绑定

智能体的权限必须和当前任务上下文绑定,超出任务范围的操作自动被禁止。从根源上避免权限滥用和横向越权。

行为持续监控与异常熔断

每一步操作都经过行为基线校验。异常行为触发自动熔断 —— 先审查再放行,而非先放行后追溯。

我们需要确保 AI 应用 “始终做真正该做的事”,保证即使边界被突破、模型读到了恶意指令,其行为逻辑仍可以限定在用户的原始意图上。

考虑架构的“韧性”  –  我们并不总能御敌于国门之外

Mythos 引入的风险和回顾

Mythos 和 AI 应用的全新交互形态,正在把网络安全从 “人类节奏、单点、确定可枚举”,推向了 “机器速度、自主攻击、非确定的 AI 意图管理” 的新形态:基于以上判断,我们可以将 Mythos 带来的新风险逐一拆解,以应对其在响应速度、攻击自主性和安全治理维度带来的巨大变革:

  • 速度更快:漏洞利用窗口从数月到数分钟,更快地挖掘、更快地从披露到大规模利用(更“快”的识别和修复)
  • 自主闭环:从资产测绘、边界突破、到横向移动实现了端到端的无人化(更“快”的检测和响应)
  • 全新维度:攻击载荷从 shellcode 变成了自然语言,通过语义与意图欺骗,利用 Agent 执行恶意逻辑(交规优化,新的信任和行为边界,Agent 应用和访问治理)

治理访问 – AI 原生零信任与智能体身份治理

治理访问的核心,依然是在零信任架构下的持续迭代,体现为更强的边界、更严格的访问控制与行为分析, AI 原生架构下的零信任治理,是全业务 Agent 化时代的重中之重。

解决什么问题:谁、能在什么条件下、访问什么?

安全技术实践:

  • 边界:通过 AI 红队的持续验证 + 安全左移,构建更稳固的新安全边界
  • 访问:通过 AI 原生的零信任访问治理,基于 NHI 身份、任务级动态授权、委托链可追溯、MCP 安全网关等措施,实现对 AI 访问的充分管控
  1. 主动加固:把边界与访问做到极致
  • AI 安全红队(以 AI 为矛):微软 MDASH 证明的多智能体调度思路,可以构建能力互补、更懂业务的 AI 红队,把漏洞分析与加固前置到攻击之前,让”找漏洞的速度跟上写漏洞的速度”;
  • AI for SDLC(安全左移):把 AI 融入研发全流程 —— 开发用 AI 写代码,安全用 AI 审代码。智能体不仅指出问题,还生成修复片段,与 IDE 集成后实现”一键修复”,从源头抑制漏洞产生。

多智能体 AI 红队的工程架构,由“编排调度层 + 五段流水线(侦察 → 漏洞发现 → 链式利用 → 横向移动 → 补丁生成)+ 支撑底座”组成,覆盖从侦察到补丁的完整自动闭环:

  1. 管理访问:AI 原生零信任访问治理
  • 非人类身份(NHI)治理:智能体时代 NHI 数量将远超人类身份(业界估计可达数十倍),长效 API 密钥成为最大软肋。改用 SPIFFE/SPIRE 短时效的可验证身份(SVID)替代长效密钥,与运行时元数据强绑定、自动轮转,把凭证失窃的影响窗口压到最小。
  • 委托链可追溯 + 任务级动态授权:基于 OAuth 2.0 Token Exchange(RFC 8693) 的 On-Behalf-Of 机制,把”用户授权”换成”任务级临时令牌”,审计日志能同时回答”哪个用户触发、哪个智能体执行”;放弃静态 RBAC 一次性授权,改为按当前任务意图动态最小授权、任务结束即收回,根治”过度授权”与”混淆代理(Confused Deputy)”。
  • MCP 安全网关:智能体与工具/数据源的交互统一经 Model Context Protocol 的安全网关中介,实施工具准入白名单、对返回内容做脱敏与注入检测,防”工具中毒”。

AI 原生零信任的落地架构——把分层边界、网关收口与贯穿全栈的 Agent 身份治理具象化:

管理意图 – 用 AI 让行为与意图始终对齐

没有任何单一的 AI 安全护栏或访问控制引擎,能够对抗输入空间近乎无限的自然语言攻击。针对大模型的提示词注入攻击可以通过拆词、隐喻、编码、跨文档分散等多种方式实现,很难通过单一规则检测,针对智能体应用的攻击可以诱导 Agent 利用模型推理实现更多全新的攻击手法,例如可以控制 Coding Agent 现写恶意执行逻辑来进行企业保密数据搜集和窃取。

正确的对抗策略依然是纵深防御,通过多层机制管控 AI 应用的行为意图未偏离:训练时实现安全对齐,架构上恢复指令/数据边界,运行时独立审计,将 AI 应用的”思考(推理)”和”执行(权限)”都管起来,只有与原始用户意图保持一致的动作,才允许被 AI 应用执行。

  1. 源头对齐:从根上让模型不想做坏事
  • 训练时安全对齐:在 LLM 训练阶段,通过类似 Anthropic 宪法 AI、OpenAI 审议式对齐的方法,把安全规则”刻进”模型的行为习惯里,让它从底层就倾向于拒绝恶意指令,而不是全靠事后拦截。
  • 架构层面隔离风险:在业务 Agent 搭建过程中,通过合理的架构设计,例如用双 LLM 模式、CaMeL 框架等设计,把“做决策的模型”和“碰数据的模型”分开,类似于从架构层面分离“管理面”和“数据面”,重新分离被大模型抹平的指令和数据边界。
  1. 过程管控:全程盯着有没有跑偏
  • 独立审计员机制:设置完全隔离于外部访问(避免审计员自己被攻击者”下毒”),且无业务数据操作权限(避免审计员自己被控可能造成业务数据泄露)的独立“审计模型”,对于智能体应用的每一轮操作和工具调用,都对照用户原始指令,检查其动作是不是符合要求,未偏离预设的行为意图范围。
  • 监控模型的思考:通过监控推理链(CoT)和内部激活状态,在智能体还在“想坏事”,还没实际执行的时候,就发现意图异常和偏离,比事后检测要快得多。
  1. 权限收敛:不让智能体有干坏事的能力
  • 最小代理权原则:不仅要限制智能体能访问什么数据,更要限制它能自己做决定的范围,比如工具调用的深度、动作的频次,从根上减少“干坏事”的可能性。
  • 高风险操作兜底:转账、删数据、发外部邮件这些不可回滚的操作,必须强制人工二次确认,普通操作也可以用”计划-执行分离”的模式,先审核计划再执行,把人在环路(HITL)变成最后一道安全闸。

建立韧性 – 假设边界终将被穿透

面对会自主推理、自己找漏洞的 AI 攻击者,想要做到”永远不被攻破”是不可能的。我们的思路要从”想尽办法防住所有攻击”,转变成”就算被攻破了也损失不大、能快速恢复”,也就是微软” Assume Breach”原则的升级:承认边界早晚会被突破,把重点放在”多快能发现问题、能把损失降到多小、能不能快速恢复业务”上。

解决什么问题:就算被攻破了,怎么把影响降到最低、快速恢复?

安全技术实践:

  • 更快发现: AI 驱动的安全运营体系,第一时间定位攻击
  • 更小损失:主动限制攻击的扩散范围,不让小问题变成大事故
  • 持续验证: 常态化攻防演练,提前发现体系的短板
  1. 更快发现:AI 驱动的检测与响应体系
  • Agentic SOC(AI 驱动的安全运营中心):用多个专职智能体协作处理告警,比如专门做调查的、专门查威胁情报的、专门看端点数据的,能自动完成大部分研判工作,把分析师从海量告警里解放出来,典型代表有 Palo Alto 的 Cortex AgentiX、谷歌的 Security Operations 分诊 Agent。
  • 攻击链自动还原:用图神经网络把零散的告警串成完整的攻击故事线,从海量日志构建”主机-进程-网络”异构图,把碎片化告警还原成符合 MITRE ATT&CK 映射的完整攻击故事线,让分析师能一眼看到整个攻击过程,而不是一堆孤立的告警点,大大提升响应速度。

  1. 更小损失:主动把风险关在”笼子”里
  • 异常熔断机制:给每个智能体建立行为基线,比如平时访问什么数据、调用工具的频率是多少,一旦出现异常就立刻切断它的权限,先阻断再查问题,而不是先放行再分析异常。
  • 限制损害半径:通过微分段、短时授权、用完即焚等方式,确保就算智能体被攻破(如黑客攻击)/被授予恶意的任务(如内部恶意人员给了恶意操作指令),攻击者能拿到的权限也很小、能用的时间也很短。同时,在架构上强制切断 “能访问内部敏感数据、能接收外部非可信人员输入、能主动对外发数据” 这三个能力,避免黑客通过针对单个智能体的攻击,就能实现完整的攻击闭环。
  1. 持续验证:常态化演练确保体系靠谱
  • AI 红蓝对抗演练:用 AI 红队不断模拟各种攻击,AI 蓝队自动找问题、打补丁,在隔离的数字孪生环境里,反复打磨防护体系,不用等真的被攻击了才发现短板。
  • 主动欺骗防御:用 AI 生成的假资产、假数据迷惑攻击者,拖慢他们的攻击速度,同时还能提前发现攻击意图,把攻击者引到蜜罐里消耗他们的精力。

聚焦 AI 应用访问治理,通过意图-行为对齐和快速响应建立新的安全体系

治理 AI 应用的访问,管理 AI 交互的意图,以及建立对可能突破安全护栏行为的快速响应机制,这三个领域的能力是相互支撑和关联的。正如分析意图的前提,是能够识别 AI 应用的身份、知道其代理执行(On-Behalf-Of )用户的身份、以及用户的原始意图;建立快速响应的机制,也同样提来完整的网络、主机、AI 应用访问的上下文信息和关联,如果不能追溯完整的调用链,AI SoC Agent 也无法快速定位攻击、识别危害范围和给出处置建议。

  1. 采集意图:在边界和访问治理维度,记录”用户/上游智能体的原始任务意图 + 委托链”;
  2. 校验行为:实时为”当前动作 vs 原始意图”打一个对齐度分数;
  3. 联动控制:利用风险度量驱动,基于 Agent 行为风险评价动态降权(即时回收高危权限),达到阈值则熔断会话、触发 Kill Switch,高风险且可信度存疑,则触发“人在环路”强制确认;
  4. 反馈学习:熔断与确认的结果回流,更新 UEBA 行为基线与对齐分类器,让系统”从每一次攻击里自愈学习”。

最后分享我们的一些感悟,通过多轮的内部讨论和分析,我们发现,安全架构兜兜转转,最后又回到了整个行业最古老的那条真理:“没有绝对的安全,只有可接受的风险”。

只是现在,风险治理的核心掌舵者,从“人”变成了“AI+人”的协作而已。

本文章由火山引擎 AI 安全团队完成。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:字节跳动技术团队 火山引擎 AI 安全 火山引擎 AI 安全《Mythos 对企业安全架构影响的思考》

评论:0   参与:  0