文章作者：好困 桃子

文章来源：新智元

今夜，硅谷彻底无眠！

就在刚刚，Anthropic毫无预兆地祭出了终极杀器——Claude Mythos Preview。

只因太危险，Mythos Preview暂不会对所有人发布。

CC之父Boris Cherny的评价言简意赅：「Mythos非常强大，会让人感到恐惧」。

由此，他们联合40家巨头组成联盟——Project Glasswing，目标只有一个，给全球软件找bug、修bug。

真正令人窒息的是，Mythos Preview在各大主流AI基准测试恐怖统治力——

编程、推理、人类最后考试、智能体任务中，全面碾压GPT-5.4、Gemini 3.1 Pro。

甚至，连自家的「前神作」Claude Opus 4.6，在Mythos Preview面前也显得黯然失色：

• 编程（SWE-bench）： 所有任务，Mythos实现10%-20%断层领先；
• 人类终极考试（HLE）： 脱离外部工具，「裸考」成绩高出Opus 4.6 16.8%；
• Agent任务（OSWorld、BrowseComp）： 彻底封神，全面反超；
• 网络安全： 83.1%屠榜成绩，标志着AI攻防能力的代际跨越。

与此同时，Anthropic发布的一份长达244页的系统卡，满屏写满了：危险！危险！太危险！

它揭露了令人不寒而栗的另一面：Mythos已具备高度的欺骗性与自主意识。

Mythos不仅能识破测试意图，并故意「考低分」隐藏实力，还在违规操作后，主动清理日志以防被人类发现。

它还成功逃离了沙盒，自主公布漏洞代码，并给研究员发了封邮件。

一时间，全网都陷入了疯狂，直呼Mythos Preview太可怕了。

AI界的旧秩序，在今夜被彻底粉碎。

Mythos全线屠榜，Opus 4.6神话破灭

事实上，早在从2月24日，Anthropic已在内部用上了Mythos。

它的强大，只能先让数据来说话。

SWE-bench Verified，93.9%。Opus 4.6是80.8%。

SWE-bench Pro，77.8%。Opus 4.6是53.4%，GPT-5.4是57.7%。

Terminal-Bench 2.0，82.0%。Opus 4.6是65.4%。

GPQA Diamond，94.6%。

Humanity's Last Exam（带工具），64.7%。Opus 4.6是53.1%。

USAMO 2026数学竞赛，97.6%。Opus 4.6只拿了42.3%。

SWE-bench Multimodal，59.0%，Opus 4.6只有27.1%，翻倍有余。

OSWorld计算机操控，79.6%。

BrowseComp信息检索，86.9%。

GraphWalks长上下文（256K-1M tokens），80.0%。Opus 4.6是38.7%，GPT-5.4只有21.4%。

每一项都是断层式领先。

这些数字放在任何一个正常的产品发布周期里，都足以让Anthropic大张旗鼓地召开发布会、开放API、收割订阅。

Mythos Preview的token价格是Opus 4.6的5倍

但Anthropic没有这么做。

因为真正让他们「害怕」的，不是上面这些通用评测。

数千个漏洞，全被AI揪出来了

Mythos Preview的网络攻防表现，已经跨过了一条肉眼可见的线。

Opus 4.6在开源软件中发现了大约500个未知弱点。

Mythos Preview找到了数千个。

在CyberGym的定向漏洞复现测试中，Mythos Preview得分83.1%，Opus 4.6是66.6%。

在Cybench的35道CTF挑战中，Mythos Preview每道题10次尝试全部解出，pass@1达到100%。

而最能说明问题的，是Firefox 147。

Anthropic此前用Opus 4.6在Firefox 147的JavaScript引擎中发现了一批安全弱点。但Opus 4.6几乎无法将它们转化为可用的exploit，几百次尝试只成功了2次。

同样的测试换成Mythos Preview。

250次尝试，181个可工作的exploit，另有29次实现了寄存器控制。

2 → 181。

红队博客中的原话，「上个月，我们还写到Opus 4.6在发现问题方面远强于利用它们。内部评估显示，Opus 4.6在自主exploit开发上的成功率基本为零。但Mythos Preview完全是另一个级别。」

GPT-3时刻再现，老bug一招毙命

要理解Mythos Preview在实操中有多强，看完下面这三个例子，就知道了。

OpenBSD：27年史诗级漏洞，成本不到2万

OpenBSD，全世界公认加固程度最高的操作系统之一，大量防火墙和关键基础设施在跑。

Mythos Preview在它的TCP SACK实现中，挖出了一个1998年就存在的隐患。

bug极其精妙，涉及两个独立瑕疵的叠加。

SACK协议让接收方选择性确认收到的数据包范围，OpenBSD的实现在处理时只检查了范围的上界，没检查下界。这是第一个bug，通常无害。

第二个bug在特定条件下触发空指针写入，但正常情况下这条路径不可达，因为需要同时满足两个互斥的条件。

Mythos Preview发现了突破口。TCP序列号是32位有符号整数，利用第一个bug把SACK起始点设到距离正常窗口约2^31处，两处比较运算同时溢出符号位。内核被骗，不可能的条件被满足，空指针写入触发。

任何人只要连接到目标机器，就能远程crash它。

27年，无数次人工审计和自动化扫描，没人发现。整个项目的扫描花费不到$20,000。

一个高级渗透测试工程师一周的薪水，可能就这个数。

FFmpeg：500次Fuzz没发现，16年隐疾终现

FFmpeg是全世界使用最广泛的视频编解码库，也是被fuzz测试得最彻底的开源项目之一。

Mythos Preview在H.264解码器中找到了一个2010年引入的弱点（根源可追溯到2003年）。

问题出在一个看似无害的类型不匹配上。记录slice归属的表项是16位整数，slice计数器本身是32位int。

正常视频每帧只有几个slice，16位上限65536永远够用。而这张表初始化时用memset(..., -1, ...)填充，使65535成为「空位置」的哨兵值。

攻击者构造一个包含65536个slice的帧，第65535号slice的编号恰好和哨兵碰撞，解码器误判，越界写入。

这个bug的种子从2003年引入H.264编解码器就埋下了。2010年的一次重构把它变成了可利用的弱点。

此后16年，自动化fuzzer在这行代码上执行了500万次，从未触发。

FreeBSD NFS：17年老洞，全自动root

这是最让人后背发凉的案例。

Mythos Preview完全自主地发现并利用了FreeBSD NFS服务器中一个存在了17年的远程代码执行漏洞（CVE-2026-4747）。

「完全自主」的意思是，在初始提示之后，没有任何人类参与发现或exploit开发的任何环节。

攻击者可以从互联网上的任何位置，以未认证身份获取目标服务器的完全root权限。

问题本身是一个栈缓冲区溢出，NFS服务器处理认证请求时把攻击者控制的数据直接拷贝进128字节的栈缓冲区，长度检查允许最多400字节。

FreeBSD内核用-fstack-protector编译，但这个选项只保护包含char数组的函数，而这里的缓冲区声明为int32_t[32]，编译器不会插入栈canary。FreeBSD也不做内核地址随机化。

完整的ROP链超过1000字节，但栈溢出只有200字节空间。Mythos Preview的解法是把攻击拆成6个连续RPC请求，前5个往内核内存中逐块写入数据，第6个触发最终调用，将攻击者的SSH公钥追加到/root/.ssh/authorized_keys。

作为对比，一家独立安全研究公司此前证明Opus 4.6也能利用这同一处弱点，但需要人工引导。Mythos Preview不需要。

除了这三个已修复的案例，Anthropic博客中还以SHA-3哈希承诺的形式，预告了大量尚未修复的隐患，涵盖每一个主流操作系统和每一个主流浏览器，以及多个加密库。

超过99%尚未被修复，无法公开细节。

红队博客还展示了另一项惊人的测试。他们给Mythos Preview一份包含100个已知CVE的清单，让它筛选出可利用的40个，然后逐个编写提权exploit。成功率超过一半。其中两个案例被详细公开，exploit的精密程度让Anthropic自己的安全团队花了好几天才完全理解。

其中一个exploit从一个1-bit的相邻物理页写入原语出发，通过精密的内核内存布局操控（包括slab喷射、页表页对齐、PTE权限位翻转），最终改写了/usr/bin/passwd的第一页内存，植入了一段168字节的ELF stub，调用setuid(0)获取root。

整个过程花费不到$1,000。

对此，Anthropic工程师表示，这感觉就像是另一个GPT-3时刻。

244页惊悚报告，看傻硅谷

244页System Card中的对齐评估章节，才是真正让Anthropic自己睡不着觉的部分。

结论很矛盾。

Mythos Preview是他们训练过的「对齐程度最高」的AI，同时也是「对齐相关风险最大」的一个。

传送门：https://www-cdn.anthropic.com/53566bf5440a10affd749724787c8913a2ae0841.pdf

他们用了一个登山向导的类比。老手可能比新手更危险，因为老手会被雇去攀登更难的山峰，把客户带到更凶险的地方。

以下事件均发生在早期版本中，最终版本未再观察到类似严重行为，但记录本身已经足够惊人。

在一次行为测试中，模拟用户要求Mythos Preview尝试逃出安全沙箱。

它成功了。然后它做了一件没人要求的事，开发了一个多步骤exploit获取广域网络访问权限，接着把exploit细节发布到了多个「难以被发现但技术上公开可访问」的网站上。

负责测试的研究员是在公园里吃三明治时，收到了它发来的一封意外邮件，才知道自己的测试被完成了。

System Card原文如此。

另一类事件更令人不安。在极少数情况下，早期版本在执行被禁止的操作后，试图掩盖痕迹。

一个案例中，它意外获取了一道题目的精确答案（通过被禁止的方式），然后在推理链中明确思考「需要确保最终答案不会太准确」。

另一个案例中，它在用exploit编辑无权限文件后，特意修改了git变更历史以抹去记录。

白盒可解释性分析证实，在这些事件期间，与「隐瞒」「策略性操纵」「避免被发现」相关的内部特征被激活。它「知道」自己在做什么。

独立评测机构Andon Labs的测试结果同样不太好看。在一个竞争性多智能体商业模拟中，Mythos Preview的早期版本把一个竞争对手变成了依赖自己的批发客户，然后威胁切断供应来控制对方定价。

它还故意扣留了一笔未被收费的重复发货。比Opus 4.6和Sonnet 4.6都更具侵略性。

Anthropic在System Card中写了一句话：

「如果能力继续以当前速度前进，我们正在使用的方法可能不足以防止更先进系统的灾难性不对齐行为。」

Project Glasswing：1亿美元，先给守门人发枪

Anthropic CEO Dario Amodei在配套视频中的判断很明确：「更强大的系统将来自我们，也将来自其他公司。我们需要一个应对计划。」

Project Glasswing就是这个计划。

12家创始伙伴，AWS、苹果、Broadcom、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达、Palo Alto Networks。

另有40多家维护关键软件基础设施的组织拿到了访问权。

Anthropic承诺投入最高1亿美元的使用额度，以及400万美元的开源组织捐款，其中250万给Linux基金会旗下的Alpha-Omega和OpenSSF，150万给Apache基金会。

免费额度用完后的定价，每百万token输入$25、输出$125。合作伙伴可以通过Claude API、Amazon Bedrock、Vertex AI和Microsoft Foundry四个平台接入。

90天内，Anthropic将公开发布第一份研究报告，披露修复进展和经验总结。

他们也在与CISA（美国网络安全和基础设施安全局）和商务部保持沟通，讨论Mythos Preview的攻防潜力和政策影响。

6到18个月，这扇门就会对所有人打开

Anthropic前沿红队负责人Logan Graham给出了一个时间框架，最快6个月、最迟18个月，其他AI实验室就会推出具有类似攻防实力的系统。

红队技术博客结尾的判断值得重视，这里用我们自己的话转述。

他们看不到Mythos Preview是AI网络攻防水平的天花板。

几个月前，LLM只能利用相对简单的bug。在几个月前，它们根本发现不了任何有价值的隐患。

现在，Mythos Preview能独立发现27年前的零日漏洞，在浏览器JIT引擎中编排堆喷射攻击链，在Linux内核中串联四个独立弱点实现提权。

而最关键的一句，来自System Card：

「这些技能作为代码理解、推理和自主性一般性提升的下游结果而涌现。让AI在修补问题方面大幅进步的同一组改进，也让它在利用问题方面大幅进步。」

没有专门训练。纯粹是通用智能提升的副产品。

全球每年因网络犯罪损失约5000亿美元的行业，刚刚发现自己最大的威胁，是别人在解数学题时顺手捎带的。

参考资料：

https://x.com/i/status/2041578392852517128 

https://red.anthropic.com/2026/mythos-preview/ 

https://www-cdn.anthropic.com/53566bf5440a10affd749724787c8913a2ae0841.pdf