漏洞修复窗口期骤缩:从771天到不足4小时,Anthropic Mythos敲响网络安全警钟
作者:本站 来源:本站
2026-05-04 11:54 1098阅读

网络安全赖以运转的时间窗口正在快速消失。彭博专栏作家Parmy Olson指出,从软件漏洞公开披露到攻击工具出现,这一间隔已从2018年的平均771天缩短至如今的不足4小时。Anthropic最新AI模型Mythos模型的诞生,将这一危机推向公众视野——其真正警示并非针对大型银行,而是那些防御薄弱的中小机构。
Anthropic将Mythos定性为“危险到无法发布”后,美国财政部长Scott Bessent迅速召集华尔街高管评估防御准备。目前,财政部正寻求直接访问Mythos。率先获得授权的英国AI安全研究院评估认为,Mythos在发动复杂网络攻击方面确实超越ChatGPT和Gemini等现有工具。
但该机构同时指出,Mythos对“防御薄弱”或简单架构系统威胁最大。大型银行拥有顶级IT安全体系,真正高风险的是中小企业、医院和小型零售商——它们既是黑客惯常目标,也缺乏快速响应能力。
随着代理AI的兴起,漏洞从披露到利用的窗口已几乎消失。Olson认为,这迫使行业直面核心问题:当漏洞数小时内即可被武器化,沿用数十年的“负责任披露”机制和数周的补丁部署流程是否仍合理?
大银行并非最脆弱环节
Anthropic发布Mythos的方式首先引发金融界关注。Scott Bessent的介入让这家AI公司在IPO前赢得罕见关注,也引发谁能获得独家访问权的争议。英国AI安全研究院评估表明,Mythos确实更擅长复杂攻击,但威胁集中在防御薄弱目标上。银行拥有全球最严密的IT防御,黑客通常绕开它们。
真正面临考验的是缺乏充分防御的中小机构。黑客不直接攻击银行攻击较少,而更多通过扫描互联网锁定医院或小型商户进行勒索。AI的进步使这些机构处境更为危险。
从771天到4小时:AI压缩窗口
理解AI风险需回归网络安全基础网络安全逻辑。技术行业长期奉行“负责任披露”:缺陷发现后厂商公布并附上修复建议。微软“补丁星期二”即为典型,每月定期披露Office 365、Windows等产品漏洞。银行IT团队收到补丁后需经历兼容性测试、审批、部署,历时数周甚至数月。生成式AI出现前,该节奏可接受,因为黑客研究利用漏洞的时间比修复更长。
但AI已改变等式。两年多前,黑客即可将漏洞详情粘贴至ChatGPT,指令其扫描公开代码库寻找类似模式。据zerodayclock.com,漏洞从公开到攻击工具构建平均时间从2018年的771天降至不足4小时。
代理AI:漏洞利用全自动化
Olson认为,近期AI能力跃升使威胁进入新阶段。AI公司赋予模型“代理”能力,使其能自主执行操作。Anthropic的Claude Cowork已能自动发送邮件、管理日历。对攻击者而言,AI不仅发现漏洞,还会自动尝试不同突破路径。Mythos更进一步,能“链式”串联多个漏洞进行复合攻击——这一能力此前仅属顶尖黑客。类比入室盗窃:找到开着的窗,内部解锁门,关闭警报;每一步单独不足以得手,但串联起来即可得逞。
即使代理AI普及前,生成式AI已重塑黑客工具:优化钓鱼邮件、实时生成深度伪造视频。代理AI则使“黑客行为本身”自动化。
“负责任披露”逻辑瓦解
Olson直接质疑网络安全核心原则。Anthropic披露Mythos虽有助于IPO前塑造神秘感,但迫使行业面对结构性问题:当从披露到利用的窗口消失,“负责任披露”机制是否仍成立?数周的补丁部署是否成无用功?大型银行至少有人员储备和资金探索近实时补丁部署。真正悬而未决的是中小企业,它们需要同样速度但缺乏能力,技术支撑与监管框架均不足。
本文来自华尔街见闻,欢迎下载APP查看更多
上一篇
下一篇
相关阅读