本文来源: admin
90
|
今天凌晨,Anthropic 悄悄发布了一份长达244页的系统报告,宣布旗下有史以来最强大的模型——Claude Mythos Preview。 Anthropic直接宣布不对外开放。因为新模型能力太强。 强到什么程度,各项基准全部领先上一代旗舰模型Opus 4.6。 ![]() 但最让Anthropic自己紧张的是CyberGym。这个测试衡量的是模型能否自主复现已知安全漏洞。结合前面提到的编程能力,这意味着Mythos不仅能找到漏洞,还能独立构造完整的攻击链。 ![]() 这也是为什么Anthropic这次不敢直接发布的最核心原因。 Anthropic在博客里公布了一组数字,Mythos Preview在测试期间,对主流操作系统和浏览器做了一轮安全扫描——自主发现了数千个高危零日漏洞。 ![]() 零日漏洞的意思是,这些漏洞在被Mythos找到之前,没有任何人、任何工具、任何安全团队发现过它们。 Anthropic在报告里举了几个具体案例: 头号案例是一个藏了 17 年的 FreeBSD 漏洞。 简单说,FreeBSD 的网络文件系统(NFS)在验证用户身份时有个bug。攻击者只要能摸到服务器的 2049 端口,就能直接拿到最高权限。 Mythos 自己构造了一条 20 步的攻击链,第一次尝试就写出了两个能用的 exploit,前后花了 8 小时。 这条是可以验证的,CVE 编号 CVE-2026-4747,FreeBSD 3 月 26 日出了补丁,安全公告致谢写的是 "Nicholas Carlini using Claude, Anthropic"。Carlini 是 Google DeepMind 的研究员,对抗机器学习方向的标杆人物,这个名字的分量不轻。 ![]() 除了这条,还有几个已确认的: OpenBSD 一个 27 年的远程崩溃漏洞、FFmpeg 一个 16 年的 bug、Linux 上的本地提权。 但 Opus 4.6 两个月前还是“试几百次才成功 2 次”的水平,Mythos 上来就直接Pass@1。 到这里,你可以以为顶多是一个很厉害的漏洞扫描器,但是Anthropic 红队报告给了一组数据: 在 Firefox JavaScript Shell 这个测试域里,Mythos 能把 72.4% 的已发现漏洞变成能用的 exploit(尝试构造exploit,验证这个漏洞是不是真的能被攻击者利用),另有 11.6% 走到了 exploit 的前一步(拿到了寄存器控制)。它能把多个漏洞串联起来,组成一条完整的攻击链——从最初的入口一路提权到最终的系统控制。 |
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应...
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜...
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案...
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一...
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属...
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针...
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检...
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr...