# 人工智能正愈发擅长发现安全漏洞

人工智能实验室安森普（Anthropic）本周宣布，其研发出一款强大的全新模型，该公司认为这将 “重塑网络安全领域”。安森普表示，其最新模型 “神话预览版（Mythos Preview）” 能够发现 “高危安全漏洞，其中涵盖各大主流操作系统与网页浏览器中的部分漏洞”。

维护广泛使用的网络基础设施的开发者称，过去数月间，人工智能模型已从频繁产生幻觉式错误，转变为能高效发现软件中的安全缺陷。这类软件除其他用途外，还支撑着操作系统运行，并为各类联网设备传输数据。

这些新能力虽能帮助开发者提升软件安全性，却也可能被黑客与国家势力利用，用于窃取信息、盗取资金，或破坏关键基础设施服务。

人工智能在网络安全领域的最新突破于本周二公布：安森普实验室发布了这款被其视作 “将重塑网络安全” 的强力模型。该模型不仅能找出 “高危漏洞，包括所有主流操作系统与浏览器中的部分漏洞”，还更擅长构思利用这些漏洞的攻击方法，这意味着恶意分子能更高效地达成攻击目的。

目前，安森普仅向约 50 家精选企业与机构开放该模型的使用权限，“旨在守护全球最关键的软件安全”。该合作项目被命名为 “玻璃翼计划”，以一种翅膀透明的蝴蝶命名。

安森普在公告中称，该模型被滥用的风险极高，因此暂无向公众开放此特定版本的计划，但会推出其他相关衍生模型。公司表示：“我们的最终目标，是让用户能够安全、大规模地部署神话系列模型。”

不过网络安全专家表示，潜在风险主要针对网络安全专业人士，而非普通民众。网络安全公司普菲特（Proofpoint）威胁研究副总裁丹尼尔・布莱克福德称：“我并不认为普通电脑用户需要为此过度担忧。他们更应该警惕的是不要泄露自己的密码，这类问题每天都在发生。”

托管开源 Linux 内核的 Linux 基金会首席执行官吉姆・泽姆林表示，相较于以往模型，神话预览版在协助开发者修复漏洞方面能力也更为出色。内核是连接硬件与软件的核心接口，Linux 内核支撑着包括安卓系统在内的多款主流操作系统，全球排名前 500 的超级计算机也均采用该内核。该基金会是玻璃翼计划的参与方之一，泽姆林称，负责维护 Linux 内核的核心团队已开始测试这款新模型，探索其最高效的使用方式。

“在人工智能出现之前，这些维护人员就已经超负荷工作了，” 泽姆林说，“而这款模型让他们的工作轻松了许多。”

早在神话预览版限量发布前，网络安全领域就已开始应对当前市面上最先进的商用人工智能模型所具备的强大能力。开发者正加紧修复被黑客用人工智能标注出的安全漏洞。安全专家担忧，若此类能力在缺乏监管约束的情况下扩散，未来将面临严峻隐患。

## 黑客正借助人工智能寻找漏洞 —— 此前收效甚微，如今已然奏效


cURL 项目首席软件开发者丹尼尔・斯滕伯格表示，人工智能模型的能力提升在 2026 年初已十分显著。cURL 是一款拥有 30 年历史的开源数据传输工具，广泛应用于汽车、医疗设备等各类联网设备中，这一转变源于 2025 年底多款前沿新模型的发布。

和软件领域的许多从业者一样，斯滕伯格依靠安全研究人员保障软件的正常运行与安全。所谓 “白帽黑客” 会私下向开发者上报安全漏洞，作为回报，他们有时能获得 “漏洞赏金”，或是以用自己名字命名该漏洞的方式获得业内认可。并非所有程序漏洞都会影响软件安全，只有部分漏洞会构成安全隐患。

但这一流程在去年开始失效。斯滕伯格的团队被大量他确信由人工智能生成的虚假漏洞报告淹没。“全年我们收到 185 份报告，最终真正属于安全问题的不足 5%。”

尽管 2024 到 2025 年报告数量翻倍，斯滕伯格团队发现并修复的安全漏洞反而更少。这些劣质报告问题严重，以至于斯滕伯格暂停了 cURL 工具的漏洞赏金发放。

斯滕伯格表示，向他提交报告的黑客通常匿名，也不会透露报告是否由人工智能生成。但他能分辨出人工智能特有的写作风格：“这些报告往往冗长详尽…… 明明人类用 50 行就能说清的问题，人工智能会写出 400 行的报告。”

斯滕伯格用于管理安全报告的平台黑客一号（HackerOne）在 2025 年夏季对黑客群体展开调查，结果显示近 60% 的受访者要么正在使用人工智能，要么正在学习相关技术，或是学习审核人工智能与机器学习系统。

## “大语言模型的漏洞挖掘能力已超越人类”


今年情况发生了翻天覆地的变化。报告数量比 2025 年更多，但斯滕伯格称，目前绝大多数报告都指向真实存在的问题。“几乎所有无效报告都消失了。”

他估算，约十分之一的报告为安全漏洞，其余大多是真实的程序缺陷。2026 年仅过去三个月，斯滕伯格带领的 cURL 团队发现并修复的漏洞数量，就已超过过去两年的全年总和。

除了外部安全研究人员的报告，斯滕伯格自己也用人工智能查找漏洞。只需一键操作，人工智能就能在经过多轮人工审核与传统代码分析工具检测的代码中，找出上百个漏洞，“效果近乎神奇”。

斯滕伯格的经历并非个例。Linux 内核的维护人员也发现漏洞报告质量出现了类似转变。安森普研究科学家尼古拉斯・卡尔尼，仅通过该公司一款旧模型与相对简单的提示词，就找到了 Linux 内核中的漏洞。卡尔尼还借助人工智能，在另一款拥有 20 年历史的开源项目中发现了首个高危漏洞。

人工智能软件安全公司科里多（Corridor）首席安全官亚历克斯・斯塔莫斯表示：“大语言模型的漏洞挖掘能力，如今已经超越了人类。” 他曾担任雅虎与脸书的安全主管，称安全研究报告质量的提升，始于 2025 年 11 月安森普 Opus 4.5 模型发布。斯塔莫斯表示，由于大量商用软件包含开源组件，开源项目的安全状况对整个互联网影响深远。

## 人工智能能否修复其发现的漏洞与安全缺陷？


斯滕伯格欣慰于当前面向公众的人工智能模型在查找漏洞上愈发实用，但他也对未来更强大的模型给开源软件维护者带来的压力感到担忧。“这会让本就超负荷、人手不足、薪酬偏低且资金匮乏的维护者们不堪重负。”

斯滕伯格并未参与玻璃翼计划，他表示许多作为 “互联网基石” 的关键项目都被排除在外。

安森普未回应美国国家公共广播电台（NPR）的置评请求。

但从目前的经验来看，斯滕伯格认为人工智能在修复漏洞与安全缺陷方面，远不如查找漏洞那般擅长。

部分原因在于，无论是漏洞本身还是修复方案，都并非简单直白。和软件开发的诸多环节一样，做出判断决策所耗费的时间，远多于编写代码本身。“一旦我们定位问题并确认其存在，实际修复工作并不困难，也不耗时。真正耗费时间与精力的，是定位问题之前的整个流程。”

也有人持不同观点。黑客一号公司目前正在研发一款智能体人工智能产品，能够更自主地发现并修复安全漏洞。

## 人工智能如何影响网络安全领域的攻防博弈？


“找到漏洞不等于能利用漏洞，” 斯塔莫斯说，“我们所说的攻击链第一步是发现缺陷，下一步则是…… 真正制造攻击武器。而基础大模型不会替你完成这一步。”

基础大模型指安森普、开放人工智能（OpenAI）、谷歌深度思维（Google DeepMind）等顶尖人工智能实验室研发的模型。这些实验室已设置安全限制，防止模型生成可用于恶意攻击的软件。此类模型高度保密，核心技术并未公开。

但一旦更易获取的开源权重模型追赶上顶尖闭源模型，情况就难以控制了。恶意分子可复制这些模型，移除防范恶意软件的安全限制。

“到那时我们就会陷入真正的麻烦，因为你可以让这些模型不仅找出漏洞，还能生成可入侵系统的攻击代码。” 斯塔莫斯称，目前最先进的开源权重模型，技术水平仅落后顶尖闭源模型不到一年。

斯塔莫斯还补充道：“这也凸显出美国国防部将安森普列为全美供应链风险的做法有多荒谬。” 国防部因安森普要求政府不得将其技术用于自主武器与大规模监控，将其标注为 “供应链风险”，这一标签意味着政府机构与承包商将被禁止与安森普合作。目前安森普正通过法律途径对此标签提出异议。

大多数开源权重模型由总部位于中国的企业研发，美国将中国视作人工智能领域的主要竞争对手。斯塔莫斯表示，安森普不向公众开放神话预览版，实则为软件开发者与美国争取了加固防御的时间。

人工智能实验室安森普（Anthropic）本周宣布，其研发出一款强大的全新模型，该公司认为这将 “重塑网络安全领域”。安森普表示，其最新模型 “神话预览版（Mythos Preview）” 能够发现 “高危安全漏洞，其中涵盖各大主流操作系统与网页浏览器中的部分漏洞”。

AI 如何变得更擅长发现安全漏洞

安全工程师

人工智能

安森普实验室发布"神话预览版"AI模型，可高效发现主流操作系统和浏览器中的高危安全漏洞。该模型不仅能识别漏洞，还能构思攻击方法，引发网络安全领域革命。Linux基金会等机构已开始测试，显著提升漏洞修复效率。但专家警告，AI能力若被滥用可能加剧网络攻击风险。目前模型仅限50家关键机构使用，暂不向公众开放。

代码分析工具

网络安全

机器学习

软件开发

软件维护

智能体

Linux

2026年中大促 | AI 领航 智绘未来

tcap

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

EdgeOne AI 安全实战专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

AI 如何变得更擅长发现安全漏洞-腾讯云开发者社区-腾讯云

AI 如何变得更擅长发现安全漏洞

AI 如何变得更擅长发现安全漏洞

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐