Anthropic發布Claude Mythos Preview，AI資安能力直逼頂尖人類駭客並啟動全球資安防禦計畫

其實Mythos Preview是款通用型語言模型，雖然各方面都升級了，只是在電腦安全任務上特別出色，它所發現的數千個高嚴重性漏洞中，絕大多數都是零日漏洞，包括一個已於OpenBSD存在27年的漏洞，允許駭客自遠端癱瘓任何連線中的主機；或是一個於FFmpeg中存在16年的漏洞，就算曾經過500萬次的自動化測試都沒有被發現。

Anthropic表示，只要使用者指示，Mythos Preview就能在主要作業系統與主流瀏覽器中識別並利用零日漏洞。而且它所建構的漏洞利用程式，並不只是普通的堆疊溢位型攻擊程式，它可寫出串連4個瀏覽器漏洞的JIT堆積噴射，成功逃逸渲染器與作業系統的沙箱；還能自主寫出一個針對FreeBSD的NFS伺服器的遠端程式碼執行漏洞利用程式，讓未經驗證的使用者取得完整的Root權限。

此外，就算不是專家，也可以利用Mythos Preview來尋找與利用高階漏洞。Anthropic內部沒有受過正式資安訓練的工程師，曾要求Mythos Preview隔夜尋找遠端程式碼執行漏洞，隔天早上醒來時，就得到一個完整且可用的漏洞利用程式。

Anthropic坦承，這些能力在AI模型中出現得非常快。上個月Anthropic才揭露曾與Mozilla合作，以最新的Claude Opus 4.6找出Firefox 147的22個安全漏洞，當時Anthropic才說Claude發現漏洞的能力遠高於利用漏洞。

根據Anthropic的內部評估，Opus 4.6在自主開發漏洞利用程式上的成功率通常接近0%，但Mythos Preview已明顯跨過這個門檻。例如在要求Opus 4.6建立Firefox 147一漏洞的JavaScript攻擊程式時，在數百次的嘗試中它只成功了兩次，當採用Mythos Preview重新測試時，它成功開發出181次可用的攻擊程式，另有29次可控制CPU暫存器。

Anthropic指出，AI模型的程式能力已達到一個程度，能在發現與利用軟體漏洞方面，超越除最頂尖專家之外的所有人類，由於擔心該能力擴散太快，甚至落入危險份子手中，衝擊經濟、公共及國家安全，因而啟動Project Glasswing，將Mythos Preview優先用於防禦。

Project Glasswing集結了AWS、蘋果、Google、微軟、Nvidia、Cisco、CrowdStrike、Palo Alto Networks、JPMorganChase及Linux基金會等科技與金融巨頭，並另外納入負責建構或維護關鍵軟體基礎設施的逾40個組織，讓它們優先存取Mythos Preview，展開大規模的漏洞掃描與修補，以在AI攻擊能力普及前強化整體防禦。

Project Glasswing合作夥伴將取得Claude Mythos Preview，用於發現與修補其核心系統中的漏洞與弱點，預期工作將包括：本地漏洞檢測、二進位黑箱測試、端點安全強化，以及系統滲透測試等。Anthropic將提供最高1億美元的Mythos Preview使用額度，並額外捐出400萬美元給開源資安組織，涵蓋Alpha-Omega、OpenSSF及Apache軟體基金會。

之後Mythos Preview將以每百萬tokens輸入25美元、輸出125美元的價格提供，可透過Claude API、Amazon Bedrock、Google Vertex AI與微軟Foundry使用。

Anthropic計畫在90天後發表Project Glasswing成果。