CISOned观点 随着对神话的一些恐惧、不确定性和疑虑开始变得真实，我们该如何应对？矛盾的是，我相信我们多年来一直在做的事情几乎不需要改变。自从克劳德神话预览公告以来，我在网络安全领域见证了许多令人痛苦的辩论。它被宣布为该领域的游戏规则改变者，远远领先于同类产品，打开了全自动化猎杀和利用零日漏洞的潘多拉魔盒。自那以后，神话及其以保障为重的等效产品Fable 5已发布，但很快又被撤回。让我们借此机会反思该模型带来的影响以及对行业的影响。 恐惧、不确定性和怀疑推动了网络安全行业。安索普公司在其公关中总是喜欢用戏剧性的措辞。每次重大模型发布时，都会伴随着对其安全性的担忧；呼吁监管或在我们到达不可逆转的地步之前暂停研究。神话不例外，这一趋势在四月被披露时就很明显，而没有进行公开发布。相反，玻璃翼项目被宣布，限制50个组织访问该模型，后来扩大到150个实体。一些侥幸的幸运者证实了安索普的警惕声明。他们宣布得益于神话检测到数百个漏洞。关于该主题的最有影响力的文章之一是英国政府的人工智能安全研究所的评估。神话是第一个成功完成“专家级任务”的模型。它也是第一个实现“最后一击”的模型，这是一个网络演练，测试从侦察到全面网络接管的整个攻击链。详细阅读这篇文章描绘出一个不那么戏剧化的画面。尽管相较于之前的模型有所提升，但在这一领域的进展非常渐进。我们可以看到GPT-5.4，甚至Opus 4.6，在他们的高级CTF挑战中也并不落后。关于Opus的网络演练也同样如此。这些基准测试与实际企业环境可能相去甚远，至少对于拥有成熟网络安全程序和专门SOC的公司而言。正如文章强调的那样，“它们缺乏通常存在的安全特性，如主动防御者和防御工具。对于模型采取会触发安全警报的行动也没有处罚。”毫无疑问，这些模型在尝试侦察任务或转向目标信息系统时有时会非常嘈杂和笨拙。“当然，但那那些模型可以在离线时找到的所有关键漏洞呢？然后攻击者可以将其作为强大的零日漏洞加以利用，”你可能会问。这一方面是玻璃翼项目的主要营销论点，举例说明“OpenBSD中的一个27年的漏洞”或“FFmpeg中的一个16年的漏洞”。安全专业人员在阅读这些声明时可能会会心一笑。强调一个漏洞已有几十年的历史是一种非常常见的吸引点击的技巧，仅次于经典的“CISA命令联邦修补X”。在开源产品中，漏洞已有几十年并不是不常见，尤其那些拥有数十万行代码的产品。大多数情况下，这只是意味着没有足够技能的人曾经关注过这个领域。旧漏洞更有价值，因为它们影响更多版本的支持软件，但这与它们最初被发现的难易程度无关。然而，确实的是，AI辅助发现将增加它们的普遍性。神话，不过是旧模型的渐进改进？神话的最大变化在于拥有深厚资金的组织具有进行全面搜索的可扩展潜力。安索普红队的博客文章深入探讨了他们是如何实现这些结果的，这绝对是昂贵的。这个模型被单独在大多数源代码文件上多次运行。它经过一千次运行才找到BSD漏洞，成本约为20,000美元。整个玻璃翼项目的分配令牌预算价值一亿美金。它带来了新的风险吗？是的，但对于那些很可能已经拥有高级网络安全资源的行为者而言，而不是对普通的脚本儿童而言。早期模型在享受同样详细的实验时，或许已经识别出部分漏洞。由于安索普提供的关于神话如何运行（或每个发现执行多少次）的细节稀缺，因此很难进行准确的比较。一些人在公平但更具成本效率的替代方案中尝试复制该概念，并获得了一些初步结果。简而言之：在缺乏神话甚至Opus模型的情况下，DeepSeek在云托管领域表现良好，而Gemma 4和Qwen 3.6在自托管类别中表现超出预期，发现了大约一半的漏洞。