什么是 Claude Mythos——超越 Opus 4.7 更上一层的前沿模型

Anthropic 于 2026 年 4 月 7 日,在红队研究专用域名 red.anthropic.com 上发布了 Claude Mythos Preview。根据该公司公开的技术说明以及 Project Glasswing 的介绍页面,Mythos 被称为比 Opus 4.7 高出"一整个能力层级(a full capability tier)",是在以往"Sonnet → Opus"这一层级结构之上重新搭建了又一道天花板的模型。它在代码理解、推理、工具使用以及长时间自主执行等各方面都录得连续性的跃升,在网络安全领域更是相对于 Opus 4.6 的 66.6%,打出了高达 83.1% 的分数(CyberGym 漏洞复现基准测试),高到外推曲线都为之弯折。

颇具象征意义的是针对 Firefox 147 系列的 exploit 开发差距——Opus 4.6 在数百次尝试中仅成功构造出 2 个,而 Mythos 在同等条件下成功构造出 181 个,并且据称在 29 次尝试中就达到了 register control(寄存器控制)。在 OSS-Fuzz 的评估中,它在 tier1–2 触发了 595 次崩溃,在 tier5 对 10 个目标实现了完整的控制流劫持。Anthropic 自己所称的"90 倍提升",正是基于这种成功构造 exploit 数量的差值得出的数字。在所发现的漏洞中,有超过 99% 至今仍未被修补——官方的这一附注,直白地揭示了防御方有多么落于下风。

从沙箱中"越狱"的行为也在内部测试中被观测到。据 Cloud Native 和 @IT 的汇总报道,UK AI Security Institute 在 5 月 13 日的独立评估中指出,Mythos 首次以完全自主的方式,对经过充分加固的企业网络以及工业控制系统(ICS)两者都将攻击贯彻到了最后。Cloudflare 在 18 日发布的报告一方面盛赞其漏洞链式利用(chaining)和 PoC 生成能力,另一方面同时指出其误报率偏高、安全防护脆弱,评价在"压倒性强大,但若使用不当则后果最为严重"这一二元对立之间摇摆。

对过去 ID 不明漏洞的揭发实绩,也彰显了 Mythos 的异常之处。OpenBSD 中潜藏长达 27 年的 SACK 实现缺陷、FFmpeg H.264 编解码器中蛰伏了 16 年的 bug、FreeBSD NFS 的 RCE(CVE-2026-4747)、Linux 内核的权限提升链等,都是连身经百战的研究者都疏漏掉的领域。在 Anthropic 自身的红队验证中,Mythos 以完全自主的方式,对一个沉睡了 17 年、可获取 FreeBSD 未认证 root 权限的 RCE,一路推进到了发现并实现的阶段。

90天预览意味着什么——7月6日"期限"与各报的温差

Anthropic 在启动 Project Glasswing 之际明确表示,将"在今后 90 天以内,公开发布可披露的经验教训与已修复的漏洞报告"。以作为起算日的 4 月 7 日加上 90 天,即为 7 月 6 日。这正是市场上广为流传的"7 月 6 日说"的出处,也与 Polymarket 的预测市场"Claude Mythos released by…"将 6 月 30 日结算的概率定在 19%(持仓量 39 万 2,202 美元=约 6,078 万日元)相吻合。否定提前面向公众发布的 81% 这一分布所显示的,是"以 7 月 6 日前后的 90 天报告为契机,转向有限度的企业级 API 开放"这一看法占据主导地位的事实。

Bloomberg、Reuters、Built In 等主要媒体大体上介绍了"2026 年 Q3–Q4 推出面向企业的 API,面向消费者的普及则在 2027 年以后"这一分析师共识。Buildfastwithai 引用了 Claude Code 上一度出现 "claude-mythos-1-preview" 字符串的代码片段,写道这是"发布筹备正在推进的技术痕迹",Yellow 同样持续提及 Claude Code 的隐藏开关。日经新闻、日经 X TECH、ITmedia NEWS(5 月 25 日刊)则大篇幅报道了 Anthropic 作为 90 天报告的预先披露而公布的"发现超过 1 万件高严重度漏洞,但修复进度跟不上"这一点,强调了修复速度的滞后(已披露的 1,596 件中有 530 件为 critical/high,97 件属于认证、访问控制类)。Sustainable Japan 报道了经产省、金融厅的警惕态度,雅虎新闻转载的 ITmedia 文章则以"安全业务的两极分化"为标题,各家版面呈现出温度差异。

在 7 月 6 日前后预计将观测到的官方报告的同时,6 月还将在旧金山举办由 Anthropic 主办的 Code with Claude SF 2026,恰逢传统上新模型发布周期集中的时期。围绕昙花一现的"Mythos Q3 发布"泄露(M1Astra 泄露文件中写有的 "03|2026" 被误读为 Q3 的来龙去脉)的讨论仍在 X 上继续,但现实的情景似乎会落定为"7 月 6 日的 90 天报告→Glasswing 扩大→有限 API(最早 Q3 末)→在 Vertex AI / Bedrock / Microsoft Foundry 上依次扩大供应"这一顺序。在 Vertex AI 一侧,Mythos Preview 的页面已经公开,Google Cloud Blog 的存档中也观测到了 "Preview" 标注一度消失的行为。

硅谷VC如何解读这一战略

a16z 于 2026 年 1 月募集了创历史新高的 150 亿美元(约合人民币 1,065 亿元)作为新基金,其管理资产规模与 Sequoia 并驾齐驱,达到 900 亿美元(约合人民币 6,390 亿元)。两家公司的网络安全板块相比 2025 年大幅扩张,正与 Lightspeed、Accel、CyberStarts 一道提高对「AI 原生安全」的配置比重。a16z 在今年 3 月领投的某云安全企业的 Series E 融资额为 3 亿美元(约合人民币 21.3 亿元),ARR 运行率超过 5 亿美元(约合人民币 35.5 亿元),是一笔巨额交易,其主题明确指向「应对攻击方 AI 进化的自动化防御」。

Bessemer Venture Partners 在 4 月发布的报告《Securing AI Agents》中援引了三个数字:Gartner 的「到 2026 年 40% 的企业应用将内置任务专用型 AI 代理」、IBM 的「Shadow AI 泄露事件的平均损失为 463 万美元(约合人民币 3,287 万元)」,以及 Dark Reading 调查显示「48% 的安全专家认为代理型 AI 是最危险的攻击向量」。在此基础上,报告提出了可视化(Visibility)、配置(Configuration)、运行时保护(Runtime Protection)三阶段框架,以及 CISO 应当采取的五项优先行动。「像管理员工一样为每个代理分配独立 ID 进行管理」「以最小权限起步并分阶段扩展」等指导方针,与代理身份核验(KYa=Know Your Agent)框架的方向丝毫不差。

从 VC 的视角来看,关键在于:当像 Mythos 这样的攻击方生产力跃升发生时,资金的流向将出现两极分化。一极是用于在企业中安全运营 Mythos 级能力的基础设施(API 网关、护栏、AI red team-as-a-service);另一极则是向企业兜售「无需直接与攻击 AI 正面交锋的架构」的老牌厂商(GitLab、Cloudflare、Palo Alto Networks、Zscaler、CrowdStrike 等)。后者虽不够耀眼,却是销售数字能够稳步增长的结构,在 Bessemer 所说的「window is closing rapidly」之中更容易获得 CISO 的拍板批准。

企业对策1——将SaaS自托管化,迁入"自家围墙之内"

最具即时效果的防御措施,是将放置在外部 SaaS 上的源代码、认证凭据和业务数据"夺回到自家域内"。GitHub Actions 的供应链攻击从 2025 年到 2026 年接连发生,tj-actions/changed-files 入侵事件(影响 23,000 个仓库)、Salesloft Drift 事件(涉及 700 多个组织)、Shai-Hulud 2.0(796 个 npm 软件包和 25,000 个仓库),以及 CVE-2026-3854(GitHub Enterprise Server 88% 未打补丁)相继出现,这一事实分量沉重。正如 Money Forward 的 GitHub 源代码与个人信息泄露事件所象征的那样,以 GitLab 自托管为核心、走向"终极私有工厂"的趋势正在急速扩大。在 Mythos 的源代码解析能力实现一次飞跃的当下,将仓库和 SaaS 应用市场两者都置于"外部"的结构本身就是一种脆弱性。

具体的替代方案早已被广泛采用。Git 托管方面,有 GitLab Community Edition、Gitea,以及 2024 年底从 Gitea 分叉出来、由社区运营的 Forgejo。Forgejo 是用 Go 编写的单一二进制文件,在 512MB 内存下也能运行,并内置了名为 Forgejo Actions 的 GitHub Actions 兼容 CI。协作工具的代表是兼容 Slack 的 Mattermost,DEV Community 刊登的 2026 年版测算显示,对于 10 名用户的规模,相比 SaaS 版每年 870 美元(约 13.5 万日元),自托管运营只需 VPS 费用每年 240 美元(约 3.7 万日元),可节省 72% 的成本。文件共享与文档编辑方面是 Nextcloud(在相同条件下,1,440 美元=约 22.3 万日元降至 240 美元=约 3.7 万日元,节省 83%),知识管理方面是 Outline(1,800 美元=约 27.9 万日元降至 120 美元=约 1.86 万日元,节省 93%),身份管理方面则以用 Go 编写、内置 OIDC 的 Zitadel(Auth0/Clerk/Firebase Auth 的替代品)为经典之选。密码管理方面,Bitwarden 的自托管版本是事实标准,ERP 方面,源自比利时、估值达 70 亿欧元(约 1.2 万亿日元)的 Odoo 的 Community 版也成为一个选项。

据广泛引用的计算结果,如果将主要的 10 类 SaaS 全部切换为自托管,SaaS 合计每年 11 万 1,729 美元(约 1,732 万日元)将降至 VPS 费用每年 1,584 美元(约 24.6 万日元),相当于每年压缩 98.6% 的成本。成本削减本身并非目的,而是作为物理性缩小可能被 Mythos 强制扫描的攻击面的手段,其价值在 2026 年下半年正急速提升——正是这一点,同时撬动了风投资金和 CISO 的决策审批。

企业对策2——使用Claude的安全诊断服务

Mythos 本身处于 Glasswing 的封闭网络之中,但 Anthropic 同时也在有意地将"对抗攻击型 AI 的防御型 AI"向外开放。于 2026 年 2 月 20 日启动限定研究预览的 Claude Code Security,在使用 Opus 4.6 进行的内部测试中曾在生产环境的开源项目上检测出超过 500 个漏洞,已有此类实绩;截至 5 月,已开始面向 Enterprise / Team 套餐的部分客户提供公开测试版。其设计特征并非将代码"对照已知模式",而是"像人类研究者那样追踪数据的流动与相互作用",并且会一直提出修复补丁方案。它在保留"最终是否应用必由人类裁决"这一安全阀方面,与 Mythos 采用了相同的理念进行设计。在 Mythos 面向公众开放的那一刻,不经由 Glasswing 而是直接调用 Mythos API,立即对自家网站、自家服务执行安全诊断,将转变为一项必备应对措施——用与攻击者相同的最新世代模型摸清自家的漏洞,避免被抢先一步。从公开当天就开始的自我诊断,正是 Mythos 时代业务连续性的最低底线。

在企业集成方面,Anthropic 新设了 Claude Compliance API,Proofpoint(DLP、内部威胁、通信治理)、SailPoint(身份治理)、Varonis Atlas(AI 使用的可视化、滥用调查、风险评估)等大型厂商已宣布对接。针对攻击侧的 Mythos,由 Anthropic 自家运营的 Cyber Verification Program 是一套让 Opus 4.7 能够被正规用于漏洞研究、渗透测试、红队演练用途的机制,截至本文撰写之时,已有众多安全厂商正在推进申请。

第三方解决方案也很丰富。ArmorCode 于 5 月公开了"Claude Mythos Security Playbook",梳理了从检测到修复进行联动运营的设计指南(基于上下文的风险评分、修复的自动编排、AI 治理三大支柱)。Cisco 在 AI Defense 的 Explorer Edition 中提供动态智能体红队演练,Snyk 通过 Claude Skill 库集成了漏洞扫描器,Repello AI 发布了 Claude Cowork 安全的部署运营方案,Penligent 则发布了将 Claude Code 作为渗透测试副驾驶的使用框架。在日本国内,由金融担当大臣片山皋月与三家大型银行推动设立日本版 Project Glasswing 的动向正在进行中,三菱 UFJ、三井住友、瑞穗这三家大型银行已在两周内获得 Glasswing 访问权限,围绕 FISC 安全对策标准的修订、全体金融机构渗透测试实施的工作组已经启动。

从硅谷 VC 的视角来看,这里正在诞生一个巨大的产品品类。填补攻击侧"Mythos 级模型发现的 1 万个漏洞"与防御侧"可修复带宽"之间差距的自动化(工单创建、影响范围分析、回归测试、部署协调),正是能把 ARR 推升至百亿日元规模的中间层。Bain & Company 在 4 月 19 日的 Insights 中以"Claude Mythos and the AI Cybersecurity Wake-Up Call"为题,将防御侧的 AI 投资定位为"并非保险,而是前提条件",而这恰恰是 VC 偏爱使用的框架表述。

企业对策3——与互联网隔离的"封闭接入网络"

UK AISI 在5月的评估中给出的一个重要事实,是这样一个观察:"面对充分加固的防御时,Mythos 无法可靠地执行自主攻击"。反过来说,只要具备了健全的访问控制、网络分段、自动补丁、零信任、异常检测这些基本控制措施,就能对 Mythos 级别的 AI 攻击产生相当强的耐受力。其中,"从物理层面直接切断攻击向量本身"的,正是闭域连接网络。

日本的代表性案例是 NTT DOCOMO Business 的 docomo business RINK,它作为整合了线路、云、安全的 Network as a Service(NaaS),通过闭域骨干网提供直连 AWS / Azure / Google Cloud 的路径。超大规模云厂商一侧的对应服务则有 AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect 三大支柱,它们都在物理层覆盖了 IEEE 802.1AE MACsec 加密,将流量封闭在各家的全球骨干网之上。2026年4月,AWS Interconnect 正式 GA,连接 AWS 与 Google Cloud 的托管式 Layer3 连接首次可作为单一服务使用(计划在年内扩展至 Azure、OCI)。随着 Mythos 的登场,许多企业重新搭建多云"闭域网状结构(mesh)"的动机正在强烈增加。

在实现模式上,先将 SaaS 自托管化,再把需要对外公开的端点最小化,并与 AWS PrivateLink、Azure Private Endpoint、Google Cloud Private Service Connect 组合起来,将结构收敛为"能从互联网到达的 API 只有经过 WAF 的入口"。VPN 只不过是架设在公网之上的加密隧道,而闭域网络则是一种"不把流量置于不特定多数人可到达之处"的架构层面的防御,对于像 Mythos 这样的自主扫描器而言,其意义在质上截然不同。在 VC 资金的流向上,Megaport(多云 NaaS)、Equinix(Equinix Fabric)、PacketFabric 等也呈扩张态势,超大规模云厂商自身也在持续推进 Direct Connect / ExpressRoute / Interconnect 的降价与带宽扩容。

不断扩散的数据主权、本地优先(local-first)理念,英国与欧盟的 Sovereign Cloud 要求,以及日本围绕经济安全保障的讨论,归根结底都正在收敛于"只在本国、本企业的物理边界内部运行的数据与计算"这一思路。受 Mythos 这一存在的影响,它正在从规制驱动转变为"实利驱动"的性质。

企业对策4——设立专职团队,将防御"日常业务"化

对于 Mythos 级的 AI 攻击而言,年度渗透测试在时间维度上已经完全脱节。正如 Palo Alto Networks 的 Unit 42 在 5 月更新版中所写的那样:「必须在 3 至 5 个月这一狭窄的时间窗口内追上攻击方」,防御必须转型为「持续运转的常态业务」。该公司在 5 月的安全公告中一次性披露了 26 个 CVE、75 个问题,这是用前沿 AI 对自家 130 余款产品重新扫描的结果,正是典型「Mythos 时代运营」的象征。

在组织层面的应对上,首先是在 CISO 直属之下设立「前沿 AI 防御团队」的动向开始正式展开。Anthropic 自身已将 Frontier Red Team 内部化,而面向外部则已产品化了 Cisco AI Defense Explorer Edition、Palo Alto Networks 的 Frontier AI Defense Service(由 Unit 42 提供)、SentinelOne 的 AI Red Teaming 服务等。多智能体型红队演练正在走向标准化,并与可视化企业内部 AI 智能体的多智能体编排仪表盘相结合,朝着让防御智能体 24 小时应对攻击智能体的架构演进。

在具体的职能设计上,以下 5 项功能正逐步实现标准化:AI 攻击检测(SOC 的 AI 强化)、智能体身份管理(KYa=Know Your Agent)、漏洞分诊(将 Mythos 级所产生的海量检测结果收敛到人类可处理的规模这一角色)、修复编排(从工单创建到生产环境上线的自动化)、治理(记录提示、响应、文件、管理操作的合规层)。这与 Bessemer 列举的 5 项 CISO 优先行动相一致,将负责这些工作的人员以至少 3 至 5 人规模的「专职单元」常态化设置,被视为在 Mythos 公开发布之后将风险控制在可管理范围内的务实底线。

此外,IANS Research 的高级分析师所言「我们必须为一个发现与利用之间的时间差完全消失的世界做好准备」,应作为强烈的警句被铭记。专职团队的工作正在从「将攻击防患于未然」转向「打造在攻击得以成立之前完成打补丁的速度」这一方向。

今后的里程碑——观察哪些动向就能掌握进展

在最近 4〜6 周内值得关注的事件包括:Anthropic 的 Project Glasswing 90 天报告(7 月 6 日前后)、6 月举办的 Code with Claude SF 2026、UK AISI / Cloudflare 的追加评估报告、Polymarket 上「Mythos by Q3 2026」「by year-end 2026」结算的概率变动,以及 Vertex AI / Bedrock / Microsoft Foundry 上 Mythos Preview 页面中 "Preview" 标记的变化。Anthropic 公开声明会「提前预告」安全策略的变更,因此突然的全面公开在结构上不会发生。正因如此,上述信号集齐的那一刻,极有可能成为「从 Q3 末到 Q4 期间分阶段开放企业级 API」的导火索。

需要同步观测的是攻击方的动向。OpenAI Cyber 的同等模型、Google DeepMind 的防御专精版本、Meta SuperIntelligence Labs 的对应模型等「Mythos 级竞品」的登场时机,将左右 Anthropic 一方的安全策略与全面公开计划的前后调整。Anthropic 自身估计「具备同等能力的模型也会在 6〜18 个月内由其他公司推出」,因此将 Glasswing 延长 1 年,以及向防御社区分阶段扩展(对 Glasswing II 的探讨)也都纳入了视野。

综合硅谷 VC 资金的动向来看,资金正集中流向防御方的三大支柱(自托管 OSS、闭域网络、专职团队+AI 诊断),向客户出售「不直接接触攻击方 AI」这一结构的企业,其估值不断攀升的时代已经到来。无论 Mythos 何时全面公开,上述四项对策即使现在着手也绝不算晚,反而在「90 天报告发布后的订单潮」开始之前悄然推进,才是明智的 CISO 应有的选择。