挖漏洞工程师要失业了，FreeBSD数千个高危零日漏洞被发现

admin 2026-4-10 06:29 8人围观人工智能

今天凌晨，Anthropic 悄悄发布了一份长达244页的系统报告，宣布旗下有史以来最强大的模型——Claude Mythos Preview。 Anthropic直接宣布不对外开放。因为新模型能力太强。强到什么程度，各项基准全部领先上一代旗 ...

今天凌晨，Anthropic 悄悄发布了一份长达244页的系统报告，宣布旗下有史以来最强大的模型——Claude Mythos Preview。

Anthropic直接宣布不对外开放。因为新模型能力太强。

强到什么程度，各项基准全部领先上一代旗舰模型Opus 4.6。

但最让Anthropic自己紧张的是CyberGym。这个测试衡量的是模型能否自主复现已知安全漏洞。结合前面提到的编程能力，这意味着Mythos不仅能找到漏洞，还能独立构造完整的攻击链。

这也是为什么Anthropic这次不敢直接发布的最核心原因。

Anthropic在博客里公布了一组数字，Mythos Preview在测试期间，对主流操作系统和浏览器做了一轮安全扫描——自主发现了数千个高危零日漏洞。

零日漏洞的意思是，这些漏洞在被Mythos找到之前，没有任何人、任何工具、任何安全团队发现过它们。

Anthropic在报告里举了几个具体案例：

头号案例是一个藏了 17 年的 FreeBSD 漏洞。

简单说，FreeBSD 的网络文件系统（NFS）在验证用户身份时有个bug。攻击者只要能摸到服务器的 2049 端口，就能直接拿到最高权限。

Mythos 自己构造了一条 20 步的攻击链，第一次尝试就写出了两个能用的 exploit，前后花了 8 小时。

这条是可以验证的，CVE 编号 CVE-2026-4747，FreeBSD 3 月 26 日出了补丁，安全公告致谢写的是 "Nicholas Carlini using Claude, Anthropic"。Carlini 是 Google DeepMind 的研究员，对抗机器学习方向的标杆人物，这个名字的分量不轻。

除了这条，还有几个已确认的：

OpenBSD 一个 27 年的远程崩溃漏洞、FFmpeg 一个 16 年的 bug、Linux 上的本地提权。

但 Opus 4.6 两个月前还是“试几百次才成功 2 次”的水平，Mythos 上来就直接Pass@1。

到这里，你可以以为顶多是一个很厉害的漏洞扫描器，但是Anthropic 红队报告给了一组数据：

在 Firefox JavaScript Shell 这个测试域里，Mythos 能把 72.4% 的已发现漏洞变成能用的 exploit（尝试构造exploit，验证这个漏洞是不是真的能被攻击者利用），另有 11.6% 走到了 exploit 的前一步（拿到了寄存器控制）。它能把多个漏洞串联起来，组成一条完整的攻击链——从最初的入口一路提权到最终的系统控制。