“Mythos的能力已超出全面公开的合理范围”。在新模型发布的当天，Anthropic用了极为罕见的措辞，只能以"受限合作"的方式，优先供给关键机构、防御组织和特定合作伙伴。

        更戏剧性的是，美联储主席鲍威尔被曝出紧急召集会议，讨论的主题正是Mythos对金融系统安全的潜在冲击。

        市场反应也很微妙。在Mythos发布后的首个交易日，CrowdStrike、Palo Alto Networks、Zscaler等一众知名安全厂商股价集体跳水，跌幅从8%到15%不等。

        一个模型发布，能让美联储主席开会，让安全巨头股价暴跌，让厂商主动限制销售，这在AI发展史上从未有过。

        这不禁让人好奇，如果模型越来越像顶级安全研究员那样找漏洞、推演攻击路径，甚至比人的效率还高，那么安全厂商还有活路吗？

        01两种声音要回答这个问题，先要搞清楚Mythos是不是真的有官方说得那么强？

        目前围绕Mythos的讨论，已分裂成两个水火不容的阵营。

        一派把Mythos直接封为安全攻防的新分水岭。在他们看来，Mythos标志着前沿模型的安全能力已逼近危险阈值。

        不仅能发现漏洞，还能推演攻击路径，甚至自动化编写利用代码。

        这种能力一旦落入黑产手中，后果不堪设想，Anthropic的谨慎是必要的防御性管控。

        这一派的声音里带着某种技术末世论的兴奋：旧秩序正在崩塌，新的安全范式必须建立。

        另一派则非常冷静。他们承认模型能力在提升，但也合理质疑：目前公开可验证的信息少得可怜，第三方独立测试几乎为零，很多惊艳演示仍然停留在Anthropic自己的PPT和受控环境中。

        已有安全研究人员指出，用规模更小的开源模型，配合恰当的提示工程，同样能和Mythos一样，在老旧漏洞库中找到可利用的CVE。

        所以Mythos展示的自动漏洞发现能力，未必是代际突破，可能只是工程优化的胜利。

        "整件事看起来像是Anthropic的营销"，一位不愿署名的安全研究员私下评价。

        "先把能力吹到天上，再顺势推出'受限合作'，制造稀缺性，筛选高价值客户，这套玩法见过太多次了"。

        但无论Mythos是营销泡沫还是真技术突破，它都把安全厂商逼到了墙角：当顶级模型具备越来越强的漏洞发现、路径推演和自动化利用能力时，整个安全行业要怎么办？

        02安全厂商会死吗？很多人第一反应是Mythos这么强，是不是就把安全厂商都干掉了？

        这其实是一种误读。因为企业安全能力从来不只等于拿到最强模型。

        真正的企业防线至少由四层构成：资产可见性、数据与日志、检测与响应流程、修复与权限治理。

        模型只是其中一个增强器，不是整套体系本身。其实很多企业安全问题，本质上不是缺一个更强的AI，而是基础治理都没做好，比如：权限过大，一个普通员工账号能摸到核心数据库；资产不清，连自家有多少台服务器都数不明白；日志不全，出事了根本回溯不了攻击路径；补丁流程慢得像蜗牛，高危漏洞半年打不上。

        这些问题，不是上一个最强模型就会自动解决的。模型能放大效率，但不能替企业补基础课。

        但承认模型不是万能药，不等于否认来自AI的冲击。国内某头部安全厂商人员表示："安全的本质说到底就两个问题——对面怎么打，我们怎么防。

        现在最大的问题是，对面已经先‘鸟枪换炮’了"。他认为，AI现在先把攻击能力放大了，安全厂商要面对的是如何用AI对抗AI，更快地去跑通这条路。

        对于攻击方来说，AI只需要在某一个点上打穿一次，就是胜利。

        但防守方的逻辑却复杂得多，AI必须在整个链条上长期稳定运行、不能误伤正常业务、还要能说清责任归属。

        这是一场不对称战争。一个是单点突破，一个是系统承压，难度根本不在一个量级。

        所以Mythos真正逼迫安全厂商面对的，不是一个技术问题，而是要回答：你提供到底是一个AI安全能力，还是一整套把AI真正嵌进企业防线之后还能跑得动的安全系统？

        03冲击落在谁头上？随着模型的持续进化，部分安全厂商的确会受到冲击。

        有一类公司主打的是AI漏洞发现、AI安全分析、AI安全Copilot、AI自动研判。

        它们的核心价值，是比传统工具更聪明一点、自动化一点。

        可一旦Anthropic这类前沿模型越来越擅长读代码、找漏洞、串攻击路径，只有这些单点能力的安全公司价值会被快速压缩。

        相反，短期内最不容易被顶级模型击穿的，是那些已经控制企业安全主流程、主数据、主入口的头部平台型厂商。

        最典型的就是CrowdStrike、Palo Alto Networks、Cisco这一类。

        CrowdStrike的Charlotte AI，调用的是企业里的实时攻击指标、威胁情报、终端与身份等安全数据。

        它最新还在推AgentWorks，目标不是做一个单独助手，而是让安全agent真正长在平台里。

        Palo Alto Networks也是同样逻辑，它卖的是AI驱动的SOC平台，把数据、检测、自动化响应和运营流程整合在一起，而不是只卖一个安全分析能力。

        值得注意的是，Anthropic这次也在用行动证明这一点。

        Project Glasswing的首批合作方，全都是AWS、Cisco、CrowdStrike、Google、Microsoft、Palo Alto Networks这种已经掌握关键基础设施、关键防御流程和关键客户关系的头部平台。

        这个名单其实已经证明，前沿模型厂商最先拉拢的，不是单点AI安全服务商，而是已经站在企业主防线上的平台型安全公司。

        除此之外，做暴露面管理、身份治理、资产可见性、AI使用治理的安全厂商，也不会受到太大冲击。

        因为大量企业的真实痛点，不是缺一个最强安全模型，而是根本不知道自己的基本面暴露到什么程度。

        前沿模型越强，这类基础治理工具反而越重要，因为攻击面只会更复杂，不会更简单。

        04安全厂商的新战场无论冲击与否，Anthropic这次端出的不仅是一个能力更强的模型，更是一种新的规则。

        Mythos没有全面开放，而是先放进Project Glasswing，优先给少数合作伙伴、关键基础设施相关机构和头部平台使用。

        对安全厂商来说，这意味着以后的竞争，不只是谁的产品更强，还包括谁有资格先接到最强的模型能力。

        这会带来能力的分层。如果最强能力先给头部云厂商、头部安全平台、关键行业龙头，那么中小厂商拿到的，很可能不是原始能力本身，而是这些平台再包装之后的服务。

        这会让头部平台的权力变得更重，它们把前沿模型打包进云服务、安全产品、开发平台，形成闭环。

        独立安全厂商只剩两条路：要么挤进白名单成为被信任的渠道，要么被收编进平台生态沦为管道。

        这条规则一旦成立，安全厂商接下来竞争的，就不只是技术和销售了。

        这才是Mythos带来的真正制度性冲击。它不会杀死安全厂商，但会加速分化。

        跟得上游戏规则的留下；跟不上的，连活下去的价值都没有。

        #Antropic #网络安全 #攻防对抗（世界模型工场关注AI圈内部消息，交流八卦请添加作者微信：lovelisa1005，获取更多一手消息）