从Mythos到漏洞挖掘智能体：AI重塑网络安全攻防底层逻辑

2015年，我第一次听说某国家级黑客组织通过一个未修补的系统漏洞入侵跨国公司数据库。那时的漏洞挖掘，依赖的是顶级黑客的个人天赋——对代码的敏锐嗅觉、无数次失败的尝试、以及漫长的等待。

范式转移：从“人力偶得”到“算法必然”

传统漏洞发现的成本高得离谱。一名高水平安全研究员，平均需要3-6个月才能定位一个复杂软件中的未知漏洞。年薪百万起步，还未必能招到合适的人。这不是技术问题，是物理限制——人类的时间和精力是有天花板的。

直到Anthropic的Mythos出现。

这款大模型在发布后72小时内，发现了数千个潜伏在主流操作系统和浏览器中的高危漏洞。其中部分漏洞的存在时间超过20年。这意味着什么？意味着过去20年间，全球最顶尖的安全专家与这些漏洞擦肩而过无数次，而AI用三天完成了超越。

量级碾压：游戏规则的骤然改变

360集团创始人周鸿祎做过一道简单的算术题：如果攻击方具备类似Mythos的能力，对目标代码库进行系统性扫描，获得的漏洞数量将是传统方法的数百倍。在攻击方眼中，防御方不再是坚固的城墙，而是布满筛孔的纱窗。

这不是危言耸听。2025年AI驱动的网络攻击较去年同期增长89%，这个数字背后是算法对人类体力、精力限制的全面突破。

破局之道：必须掌握“AI挖洞”能力

周鸿祎坦承，在大模型算法层面，中国的确不如Anthropic。但他指出另一条路径：360是安全公司，在漏洞理解、攻防利用代码方面积累更深。“漏洞挖掘智能体”将大模型的泛化能力与安全专家的经验知识结合，形成了独特的混合架构。

结果印证了这条路的可行性：该智能体发现了近1000个此前未知的漏洞，其中50余个被认定为高危，覆盖Windows内核、MicrosoftOffice组件、IoT设备等关键基础设施。

下一步：智能体对抗智能体

AI大模型给全球网络安全带来根本性变革。传统网络攻击受限于黑客的体力和精力；而AI可以将黑客经验“蒸馏”成智能体技能，只要算力足够，就能复制出无限多个“永不疲倦的黑客”。

相应的应对逻辑必须是：用AI对抗AI，用算力对抗算力。通过“蒸馏”网络安全专家的技能，发展足够数量的“网络安全智能体”，由智能体完成筛查、分析和验证，人类专家只在关键节点做出判断。

有人把漏洞挖掘智能体比作AI时代的“网络核武器”。这句话并不夸张。掌握它，不是为了攻击，而是为了确保网络空间原有的平衡不被随意打破。