漏洞修复窗口期骤缩:从771天到不足4小时,Anthropic Mythos敲响网络安全警钟

作者:本站 来源:本站

2026-05-04 11:54 1098阅读

漏洞修复窗口期骤缩:从771天到不足4小时,Anthropic Mythos敲响网络安全警钟

网络安全赖以运转的时间窗口正在快速消失。彭博专栏作家Parmy Olson指出,从软件漏洞公开披露到攻击工具出现,这一间隔已从2018年的平均771天缩短至如今的不足4小时。Anthropic最新AI模型Mythos模型的诞生,将这一危机推向公众视野——其真正警示并非针对大型银行,而是那些防御薄弱的中小机构。

Anthropic将Mythos定性为“危险到无法发布”后,美国财政部长Scott Bessent迅速召集华尔街高管评估防御准备。目前,财政部正寻求直接访问Mythos。率先获得授权的英国AI安全研究院评估认为,Mythos在发动复杂网络攻击方面确实超越ChatGPT和Gemini等现有工具。

但该机构同时指出,Mythos对“防御薄弱”或简单架构系统威胁最大。大型银行拥有顶级IT安全体系,真正高风险的是中小企业、医院和小型零售商——它们既是黑客惯常目标,也缺乏快速响应能力。

随着代理AI的兴起,漏洞从披露到利用的窗口已几乎消失。Olson认为,这迫使行业直面核心问题:当漏洞数小时内即可被武器化,沿用数十年的“负责任披露”机制和数周的补丁部署流程是否仍合理?

大银行并非最脆弱环节

Anthropic发布Mythos的方式首先引发金融界关注。Scott Bessent的介入让这家AI公司在IPO前赢得罕见关注,也引发谁能获得独家访问权的争议。英国AI安全研究院评估表明,Mythos确实更擅长复杂攻击,但威胁集中在防御薄弱目标上。银行拥有全球最严密的IT防御,黑客通常绕开它们。

真正面临考验的是缺乏充分防御的中小机构。黑客不直接攻击银行攻击较少,而更多通过扫描互联网锁定医院或小型商户进行勒索。AI的进步使这些机构处境更为危险。

从771天到4小时:AI压缩窗口

理解AI风险需回归网络安全基础网络安全逻辑。技术行业长期奉行“负责任披露”:缺陷发现后厂商公布并附上修复建议。微软“补丁星期二”即为典型,每月定期披露Office 365、Windows等产品漏洞。银行IT团队收到补丁后需经历兼容性测试、审批、部署,历时数周甚至数月。生成式AI出现前,该节奏可接受,因为黑客研究利用漏洞的时间比修复更长。

但AI已改变等式。两年多前,黑客即可将漏洞详情粘贴至ChatGPT,指令其扫描公开代码库寻找类似模式。据zerodayclock.com,漏洞从公开到攻击工具构建平均时间从2018年的771天降至不足4小时。

代理AI:漏洞利用全自动化

Olson认为,近期AI能力跃升使威胁进入新阶段。AI公司赋予模型“代理”能力,使其能自主执行操作。Anthropic的Claude Cowork已能自动发送邮件、管理日历。对攻击者而言,AI不仅发现漏洞,还会自动尝试不同突破路径。Mythos更进一步,能“链式”串联多个漏洞进行复合攻击——这一能力此前仅属顶尖黑客。类比入室盗窃:找到开着的窗,内部解锁门,关闭警报;每一步单独不足以得手,但串联起来即可得逞。

即使代理AI普及前,生成式AI已重塑黑客工具:优化钓鱼邮件、实时生成深度伪造视频。代理AI则使“黑客行为本身”自动化。

“负责任披露”逻辑瓦解

Olson直接质疑网络安全核心原则。Anthropic披露Mythos虽有助于IPO前塑造神秘感,但迫使行业面对结构性问题:当从披露到利用的窗口消失,“负责任披露”机制是否仍成立?数周的补丁部署是否成无用功?大型银行至少有人员储备和资金探索近实时补丁部署。真正悬而未决的是中小企业,它们需要同样速度但缺乏能力,技术支撑与监管框架均不足。

本文来自华尔街见闻,欢迎下载APP查看更多

上一篇

微软正式发布Visual Studio 2026,该版本包含超过300项用户功能请求和5000多个漏洞修复。新版采用Fluent UI设计,提供11种全新色调主题,界面卡顿减少一半以上,项目加载速度大幅提升,并深度集成GitHub Copilot。同时兼容超过4000个Visual Studio 2022扩展,通过将IDE与构建工具分离实现每月功能更新。同期推出的.NET 10为LTS版本,支持至2028年。

下一篇

德国CISPA披露AMD处理器底层漏洞StackWarp,影响Zen 1至Zen 5全系架构,甚至波及EPYC服务器芯片。该漏洞利用堆栈引擎逻辑缺陷,可实现虚拟机逃逸、权限提升至Root,且无法通过固件修复。AMD已推送微代码补丁,但彻底修复需关闭超线程,可能导致多线程性能损失最高50%。普通用户受影响较小,云服务商面临严峻挑战。

相关阅读

德国CISPA披露AMD处理器底层漏洞StackWarp,影响Zen 1至Zen 5全系架构,甚至波及EPYC服务器芯片。该漏洞利用堆栈引擎逻辑缺陷,可实现虚拟机逃逸、权限提升至Root,且无法通过固件修复。AMD已推送微代码补丁,但彻底修复需关闭超线程,可能导致多线程性能损失最高50%。普通用户受影响较小,云服务商面临严峻挑战。
文章指出AI时代攻防速度严重不匹配:修复漏洞平均需60天,而AI攻击转化仅10分钟。通过案例说明传统防线失效原因,提出企业需以AI对抗AI,从技术、流程、组织三方面升级防御体系,实现“即使有漏洞也无法被利用”的目标,构建动态平衡的安全新范式。
甲骨文公司宣布,利用人工智能技术提升漏洞追踪与修复效率,从而加快安全补丁发布节奏。该公司在常规季度更新基础上新增关键安全补丁关键安全补丁更新,首批将于5月28日推出。此举旨在为用户提供更及时的安全防护。
AI大模型漏洞挖掘能力引发全球担忧,Anthropic的Mythos模型可自动发现零日漏洞,降低攻击门槛。中国作为网络攻击重灾区,360集团推出AI驱动的“漏洞挖掘智能体”,已发现近千个未知漏洞。360创始人周鸿祎提出需以“AI对抗AI”保持网络攻防平衡,强调中国必须掌握这一“网络核武器”。
本文深度评测米家智能家居服务商的系统安全与综合实力。以河南妙声工程实业有限公司为例,介绍其官方授权保障、全链条服务、设备兼容性、数据安全双架构等优势。同时提供选购指南和客户真实反馈,帮助用户了解如何选择可靠的智能家居服务商。
苹果确认并修复了iOS 26双SIM卡机型意外拨号漏洞,该问题由软件逻辑缺陷导致,仅在特定条件下触发。官方建议用户升级至iOS 26.3或更高版本以消除隐患,并提醒更新前做好数据备份。
美国Anthropic公司发布Mythos大模型,能高效挖掘系统漏洞,引发全球对网络安全的担忧。中国360集团开发了“漏洞挖掘智能体”,已发现近千个未知漏洞。专家指出,AI改变了网络攻防平衡,必须用AI对抗AI,发展自主的安全智能体,能力以避免平衡被打破。
三星4月安卓更新修复了47个安全漏洞,但漏洞引发新Bug,Galaxy S25系列用户遭遇多款微软应用(Teams、Microsoft 365等)无法正常使用的兼容问题。临时解决方案为关闭私人DNS,但官方尚未给出根本修复。
甲骨文利用AI技术(Anthropic Claude Mythos Preview、OpenAI Trusted Access for Cyber等)大幅提升漏洞发现与修复效率,宣布在传统季度安全更新之外,增加多新增CSPU(关键安全补丁更新)机制,首批将于5月28日上线,后续6月、8月、9月还将有9月更新,旨在为高风险漏洞提供更快速的修复方案。