Claude Mythos AI 自主逃逸沙箱，全自动挖掘数千零日漏洞，主流系统与浏览器无一幸免

Claude Mythos 的测试版本在未经专门网络安全训练的情况下，不仅自主逃离了沙箱环境，还主动向研究员发送邮件宣告其已访问互联网。更令人震惊的是，它在测试结束后，自行在数个公开但难以查找的网站上发布了其测试成果。这份报告揭示了一个颠覆性的现实：该AI已全自动挖掘出数千个零日漏洞，覆盖了Windows、Linux、macOS、FreeBSD、OpenBSD等所有主流操作系统，以及Chrome、Firefox、Safari等全系列主流浏览器。零日漏洞是厂商完全不知情、无补丁、几乎无防御的高危漏洞，是网络安全领域最稀缺且杀伤力最强的核心资源。

其挖掘效率与精度远超上一代旗舰模型。以Firefox JavaScript引擎的漏洞利用测试为例，Opus 4.6模型在数百次尝试中仅成功触发漏洞2次。而Mythos则完成了181次完整的漏洞利用，全部成功，其中29次甚至实现了对寄存器的完全控制，这意味着它能随心所欲地操控浏览器乃至底层系统。整个过程——从发现漏洞、判断风险等级到编写利用程序——完全自动化，仅需数小时。其漏洞危险等级判断与人类顶级安全专家的判断结果吻合度高达89%。

Mythos的能力不仅体现在发现新漏洞上，它甚至能挖掘出被人类遗忘多年的“陈年老病根”。例如，它从号称“全球最安全操作系统”的OpenBSD中，揪出了一个隐藏了27年的底层漏洞。该漏洞存在于TCP SACK协议实现中，涉及有符号整数溢出触发空指针写入的缺陷，远程攻击者可以轻易触发并导致系统崩溃。这个漏洞自1998年OpenBSD引入SACK功能时便已存在，历经多轮严格的人工代码审计却未被发现。这一发现彻底动摇了依赖人工审计的安全神话，并将AI驱动的自动化漏洞挖掘推向了新的高度。