百花齊放|中國版Mythos現身?全自動漏洞挖掘能力存疑
中國的網絡安全公司 360 數字安全公司近期宣稱,他們內部研發的「多代理協作漏洞發掘系統」能夠在極短時間內自動發現大量安全漏洞,除了在今年復辦的天府盃黑客大賽中幫助團隊快速找到漏洞,奪取賽事冠軍,更有能力在數分鐘內發現一個長達 8 年而未被揭露的 Office 致命漏洞(CVE-2026-32190),如果內容屬實,其漏洞挖掘效能已足以與剛公布的 Claude Mythos 匹敵。不過,有專門研究中國網絡安全技術的專家,就對這個 AI 系統抱持懷疑態度。
從賽後報告顯示,360 數字安全公司在天府盃比賽中總共找出接近 1,000 個漏洞,當中超過 50 個屬高危等級,漏洞涵蓋 Windows、Microsoft Office、Android、OpenClaw、IoT 裝置等多個作業系統平台。官方將成績歸功於一套內部研發的「多代理協作漏洞發掘系統」,聲稱這套人工智能系統可以橫掃多個生態系統進行漏洞挖掘。
研究員認為未達 Mythos 水平
不過,專門研究中國網絡安全技術的研究員 Eugenio Benincasa 就認為,360 的 AI 能力雖然明顯不差,但暫時仍未達到 Claude Mythos 那種「近乎自主推理」的級別。Benincasa 認為應該要拿它跟 Google Big Sleep 比較,因為後者並非完全自我獨立運作的 AI 代理,反而較像是用於協助研究員加速漏洞研究的幫手,估計仍未去到全面接管整個研究流程的地步。
中國網絡安全公司選擇在這個時間點公佈研究成果,相信與 Anthropic 旗下的 Claude Mythos 在網絡安全界成為最熱話題有關,不過,雖然 Anthropic 一直強調它能夠自主發現成千上萬個漏洞,但目前真正能夠核實成果的例子仍然有限,而可直接歸功於安全聯盟計劃 Project Glasswing 的案例更只得一個。換句話說,現在相關新聞似乎是各家企業對 AI 能力的「超前宣傳」與局部成果,距離全面驗證還有一段距離。
漏洞公開前需先向政府報告
不過,專家 Benincasa 亦指出一個中西方政府在發展網絡安全上的重點差異,因為中國法例要求私人公司及研究人員在公開披露漏洞之前,必須先向政府部門報告,等於政府可以集中管理及掌控所有網絡安全的研究及漏洞資訊;相反美國、歐洲等民主地區雖然都有漏洞通報機制,但研究與國家用途之間的界線通常較清晰。正因如此,中國整體制度環境便可能令這類能力更快變成國家級資源。
無論是 Claude Mythos,抑或是 360 數字安全公司所展示的能力,都已經清楚反映一個事實,AI 正在將漏洞研究變成一場高效率、低門檻,甚至帶有半自動化軍備競賽的戰場。以往要靠資深研究員日以繼夜翻查程式碼、重複測試才發現得到的缺陷,現在可能只要一套 AI 系統,就能在短時間內掃出大量高危問題。對位於防守方的企業來說,絕對不是一個好消息,而是最需要急切應付的問題。
