Ghaznix

零日奇异点:揭秘 Claude Mythos 与自主 RCE 时代

零日奇异点

让我们面对现实吧。在一段时间内,“网络安全中的人工智能”这一炒作令人精疲力竭。我们看着厂商在标准的基于正则表达式的静态分析工具上贴上“AI 驱动”的标签,也看着“脚本小子”使用早期的 LLM 编写极其嘈杂、漏洞百出的网络钓鱼邮件。

但截至 2026 年年中,这场玩笑正式结束了。

进攻性安全的格局不仅发生了转变,而且从根本上发生了断裂。我们不再讨论 AI 作为辅助人类渗透测试人员编写棘手有效负载的“助手”。我们正在面对的是完全自主的、并行化的代理,它们能够通过复杂的业务逻辑进行推理、串联漏洞,并在人类分析师喝完第一杯咖啡之前就夺取服务器控制权。

以下是来自前线的视角,展示了目前进攻性 AI 领域的真实面貌——从前沿模型恐怖的通用推理能力到小语言模型 (SLM) 的极致精准。

1. 通用推理的巨兽:Claude Mythos

如果你想了解目前安全社区的恐慌,只需看看 Anthropic 在 2026 年 4 月发布的 Claude Mythos

Mythos 不仅通过了评估基准,还打破了 METR(AI 风险评估组织)的评估方法。但让安全研究人员夜不能寐的是 Mythos 在实际环境中的表现。在没有明确进攻性训练的情况下——其能力纯粹源于通用推理和编码自主性的巨大飞跃——Mythos 自主发现了数千个以前未知的漏洞。

它不仅发现了简单的跨站脚本 (XSS) 漏洞。它还发现了 FreeBSD NFS 服务器中一个存在 17 年之久的远程代码执行 (RCE) 漏洞,以及一个经历了数十年人类同行评审仍幸存下来的存在 27 年之久的浏览器漏洞。然后呢?它在没有人类指导的情况下为它们编写了功能齐全的漏洞利用程序 (Exploits)。

这就是为什么 Anthropic 通过“玻璃翼计划 (Project Glasswing)”限制其发布,仅允许科技巨头(苹果、微软、谷歌)在模型广泛使用之前加固其基础设施。Mythos 证明了一个恐怖的概念:进攻能力不再是一种设计选择,它是任何足够智能的 AI 的一种涌现属性。

2. 自主性的产品化:XBOW 与 DAST 的消亡

如果说 Mythos 代表了通用智能的前沿,那么像 XBOW 这样的工具则代表了 AI 驱动的进攻性安全的商业化。

多年来,我们一直依赖动态应用程序安全测试 (DAST) 扫描器。众所周知,DAST 既吵又慢且笨——它只是用大量的静态有效负载轰炸应用程序,并期望能有所斩获。而 XBOW 则不同,它表现得像一支数字红队。

以下是 XBOW 等平台改变游戏规则的方式:

  • 自适应利用: XBOW 不仅仅发送有效负载,它还会读取服务器的响应。如果 Web 应用程序防火墙 (WAF) 拦截了它,XBOW 会分析拦截原因并对有效负载进行变异以绕过防护栏。
  • 业务逻辑攻击: 传统扫描器无法理解上下文。XBOW 使用 AI 执行 IDOR(不安全的直接对象引用)和 BOLA(损坏的对象级授权)测试。它可以查看页面,理解用户角色 A 不应看到用户角色 B 的数据,并积极利用这一点。
  • 漏洞串联: 扫描器可能会发现一个 SSRF(服务器端请求伪造)。XBOW 则会发现 SSRF,渗透进内部网络,提取 AWS 元数据,并尝试将该 SSRF 转化为完全的 RCE。

3. 不对称经济学:一顿午饭钱换取一个 Shell

或许 2026 年最颠覆性的研究不是关于 AI 如何进行黑客攻击,而是关于成本是多少

从历史上看,进攻活动受人力成本限制。对复杂的活动目录 (AD) 环境进行高质量、手动渗透测试的费用在 1.5 万美元到 5 万美元之间,且需要数周时间。

最近对基于 LLM 的渗透测试代理的研究彻底瓦解了这一经济模型。在 2026 年初,研究人员针对一个真实的活动目录环境测试了 Excalibur(一个基于 PentestGPT V2 构建的代理)。该代理成功攻破了五台主机中的四台,执行了真实的横向移动。

  • 成本? 28.50 美元的 API 费用。
  • 速度? 因为代理不是线性操作的——它同时探索了每一个可触达的表面——它在极短的时间内完成了一个团队的工作。

当执行复杂的、多阶段攻击链的边际成本降至接近零时,外部边界上复杂探测的数量将无限扩大。

4. “小模型”革命 (SLM)

当前沿模型如 Mythos 占据新闻头条时,严肃的企业安全正转向 小语言模型 (SLM)

为什么?因为将高度敏感的私有网络遥测数据通过管道传输到第三方 API 是合规性的噩梦。企业需要本地部署的、高度专业化的模型来理解其特定环境。

2025 年底和 2026 年的研究(如 SecKnowledge 数据集计划)证明,你不需要万亿参数的模型来寻找 Bug。通过专门针对攻击者的战术、技术和过程 (TTP)、漏洞利用有效负载以及网络配置对 SLM 进行微调,研究人员创建了在本地运行的领域专家模型。

这些 SLM 擅长:

  • 假设驱动的威胁狩猎: 在没有幻觉的情况下筛选嘈杂的日志。
  • 数据驻留合规性: 在完全隔离或高度受限的环境中运行。
  • 速度: 以大型模型因延迟而无法达到的速度生成本地化的模糊测试 (Fuzzing) 有效负载。

防御者的现实

作为一名研究人员,目睹这一切的发生既令人兴奋又令人恐惧。依靠“潜伏时间 (Dwell Time)”的日子已经结束了。如果一个 AI 代理突破了边界,它不需要睡眠,没有周末,并以机器速度处理环境。

对抗自动化、自适应、具备推理能力的对手的唯一可行防御是完全自动化、自适应、具备推理能力的防御。我们正在进入一个多代理战争时代,你的防御性 SLM 将与进攻性自主代理进行持续、实时的近身格斗。

补丁管理已不再足够。如果你的安全策略没有考虑到一个寻找零日漏洞的速度比你安排会议的速度还要快的对手,那么你已经落后了。

在 Ghaznix 博客上探索更多技术见解 ←

Tags

人工智能网络安全 Claude Mythos 自主 RCE XBOW 进攻性 AI 零日漏洞