这家初创公司的AI揪出Anthropic Mythos模型遗漏的高危漏洞

本文来自微信公众号： 福布斯 ，作者：Forbes

一个多月前，Anthropic发布AI模型Mythos，在网络安全圈引发巨大震动。该公司宣称，其模型技术极为先进，已在互联网核心代码中找出数十个高危漏洞。

近日，网络安全初创企业Depthfirst表示，自家AI模型又发现了更多Mythos遗漏的漏洞，其中不乏可能影响绝大多数网民的关键性安全缺陷。Depthfirst首席执行官卡西姆·米萨尼（Qasim Mithani）称，由于公司针对单一任务优化了模型，花费1000美元就能完成Mythos耗资1万美元才能实现的检测工作。

米萨尼认为，将技术封闭起来、仅向少数合作方开放的做法并不可取。他表示，如今黑客也已掌握高性能AI工具，防御的一方必须动用一切可用手段，方能防范网络安全灾难。“如果攻击者也在使用这类AI模型，大概率也能达到和我们相近的效果。这正是我们担忧所在，也是我们推出这项开放计划的初衷。”

网络攻防本就是一场由来已久的猫鼠博弈，而AI正急剧加快这场博弈的节奏。

业界寄希望于AI能大规模且高效挖出安全漏洞，提升互联网整体安全水平。但网络不法分子早已开始利用AI牟利。谷歌于5月11日发出预警，称有犯罪团伙借助AI研发零日漏洞攻击工具，专门攻击尚未被发现、暂无官方修复补丁的安全隐患。Anthropic也曾声称有境外情报人员利用Claude对科技企业及政界人士发起网络攻击。

修复可能被利用的程序漏洞因而变得愈发紧迫。Depthfirst此次在全球部署最广泛的网页服务器NGINX中发现高危漏洞，全球近三分之二的热门网站均依托该服务器运行。米萨尼向《福布斯》透露，该漏洞自2008年起就潜藏在NGINX代码中，这意味着过去18年间，所有搭载NGINX服务器的系统都存在被攻击风险。“这是很严峻的事情，毕竟大半个互联网都建立在它上面。”他表示，NGINX的维护方F5 Networks将于本周晚些时候发布修复补丁。

F5公司首席产品官库纳尔·阿南德（Kunal Anand）未就该漏洞置评，但很乐见AI找出漏洞，因为这项技术具备规模化检测能力。“这彻底改变了安全行业的格局。安全研究人员、工程团队以及开源系统维护者都会如虎添翼，因为AI能够大规模追踪代码执行路径、挖掘人工难以察觉的边缘异常场景，能力远超个人或传统团队。安全漏洞其实一直都客观存在，但如今我们拥有了更强大的排查工具。”

米萨尼团队的AI模型还在开源操作系统Linux中发现同级别的严重漏洞，黑客可利用该漏洞在运行Linux的设备上执行恶意代码。目前漏洞尚未完成修复，Linux基金会暂未对此作出回应。

Depthfirst的模型还找出了谷歌Chrome浏览器的多处漏洞。谷歌已证实相关漏洞的存在，并完成全部修复。这些漏洞被评定为高危等级，一旦被利用，黑客可通过恶意网页发起网络攻击。

此外，Depthfirst的模型还在开源多媒体处理软件FFmpeg中找出12个Mythos未能识别的新漏洞。FFmpeg是互联网音视频处理的核心底层工具，Netflix、YouTube、Instagram、Facebook、Spotify等众多主流平台的视频服务均依赖其搭建。

并非所有人都相信AI能大幅改善互联网安全。参与维护FFmpeg的让-巴蒂斯特·康普夫（Jean-Baptiste Kempf）向《福布斯》表示，即便不用AI，也能轻松找出这款软件的漏洞，并补充说：“发现漏洞并不难，难的是拿出稳妥完善的修复方案。”

本文译自：

https://www.forbes.com/sites/thomasbrewster/2026/05/12/ai-finds-critical-vulnerabilities-that-anthropic-mythos-missed/