AI让网络安全游戏变得更快，而非全新

人工智能工具持续进化，在提升攻击者发现和利用网络漏洞速度的同时，也加速了防御者（如银行、医院和公用事业机构）定位和修补漏洞的能力。防御者获取最强大网络安全工具的时间越晚，他们遭受潜在攻击者——无论是国家行为体还是犯罪团伙——利用更先进AI系统发难的风险就越高。

无论美国是否放缓前沿AI模型的公共访问，攻击者都会持续推进其目标，他们希望利用先进AI实施间谍活动、勒索关键基础设施、进行金融欺诈等。围绕高能力AI工具的公开讨论不应聚焦于它们是否应该存在，而应关注谁先获得它们。这一争论因Anthropic AI模型Mythos的待定发布而成为热点。

Anthropic近期宣布推出名为Fable 5的“Mythos级模型”，并称其包含防止模型最先进网络漏洞检测能力被滥用的“防护措施”。Mythos级模型与其前代一样属于通用模型，Anthropic表示其检测网络漏洞的能力是分阶段发布的主要原因。4月“Project Glasswing”——Anthropic的Mythos分级逐步发布路线图——公布时，Mythos仅对50家组织开放，随后扩大至200家，但因一项禁止外国人使用该模型的联邦裁决而暂停。

Anthropic声称分级发布旨在防止模型落入网络攻击者之手。尽管攻击者获取强大AI模型可能带来深远风险，但新软件漏洞的出现无法避免，缓解这些风险的方案并非全新。应对网络安全威胁还有比限制顶级工具访问更有效的策略。

先进AI增强漏洞发现能力并不从根本上改变网络安全的基本公式：软件漏洞为黑客提供入侵机会，防御者必须在被利用前发现并修补漏洞。既然软件漏洞不可避免，而AI工具发现漏洞的能力不断增强，这些漏洞本就存在，新漏洞也会持续出现。

在自主AI时代，这一动态更加激烈。自主AI系统能够在有限人工干预下自主执行目标，其多步骤行动速度远超人类。这改变了漏洞发现和修补的速度，而掌握匹配这一速度的先进AI是防御者领先攻击者的关键。

均势问题

尽管Mythos在发现网络漏洞方面优于前代，但测试显示，Anthropic的Opus 4.6在CyberGym网络安全漏洞复现基准测试中得分为66.6%，而Mythos Preview为83.1%。CyberGym是由加州大学伯克利分校开发的基准，用于评估AI代理处理真实世界网络漏洞的能力。这一差距并非微不足道，但该公开模型同样能力出众。而且现有模型已展现出与Mythos许多能力相匹敌的实例。

漏洞修复初创公司Aisle测试了开源模型，看它们是否能匹敌Mythos在4月展示的识别网络安全缺陷的能力。Aisle在相同相关代码上运行了所谓的“廉价、开放权重的模型”。这些开源模型被发现同样能够发现许多漏洞，且成本低得多。“八个模型中有八个检测到了Mythos的旗舰FreeBSD漏洞，”Aisle表示，“包括一个仅有36亿活跃参数的模型，每百万token成本0.11美元。一个51亿活跃参数的开放模型恢复了27年历史的OpenBSD漏洞的核心链条。”

攻击者获得能力与前沿模型相当的AI已不再是理论。已有证据表明，开源模型至少在识别某些网络安全缺陷方面与Mythos相匹敌。事实上，Aisle称小型开放模型在一次基本安全推理任务上超越了“几乎所有实验室”的前沿模型。

全球AI发展的活力不止于此。日本AI开发商Sakana AI近期表示，其新模型Fugu——一种设计用于绕过出口管制的多代理编排系统——“其性能与Fable和Mythos相当”。而中国等敌对国在先进AI领域持续全速前进，这从其在美国出口管制下仍不断取得AI进展中可见一斑。

美国AI发展并非孤立存在，在美国AI产业中对前沿模型进行分层访问并不能阻止攻击者获得具备高能力识别网络漏洞的AI模型。然而，它却使那些未被选中的防御者无法获得这些前沿模型来扫描代码并发现漏洞。

分层访问制造赢家和输家，抑制创新

当前沿模型访问权由私人公司或监管机构分层或限制而非由市场决定时，小角色往往吃亏。鉴于需要网络安全防御的组织数量庞大，在分层系统中，有些注定被落下。

这种动态不仅使众多较小机构处于劣势，而且常让官僚和政客（往往误解技术）或最大型企业成为先进AI发展的主导力量，而非市场。防御性网络安全的最佳、最受用户欢迎的AI模型无法胜出，市场反而被政府官员任意选择所扭曲。

这损害了AI开发者之间的竞争，并可能阻碍创新。当公司因提供消费者认为最佳网络安全模型而受奖时，竞争对手有动力投资资源以追求更优模型。相反，监管机制选择赢家和输家的架构会激励公司将资源从研发和安全改进转向合规、法律和公关，以维持或获得青睐。

在后一种体系中，既大且先发者往往在制定行业标准方面占优。而这些事实上的标准并不总是与推进网络安全技术的最佳路径一致。大公司更容易负担律师、说客和公关人员，而初创企业刚起步。提高竞争监管门槛可能会以繁文缛节束缚小型新公司，扼杀竞争，使大公司变得自满。

大公司往往在分层访问项目中胜出的模式已在实践中显现。Anthropic的Project Glasswing虽逐步扩大，但早期访问严重偏向大公司和知名企业。同样，就在上月，OpenAI在发布GPT-5.5-Cyber时也宣布将首先向“经过审查”的防御者群体开放，其中许多与前者重叠。这并非针对特定实验室，而是指出美国AI产业中日益增长的趋势。

值得注意的是，Project Glasswing和Fable 5的公开之后，近期联邦决定禁止外国人使用Fable和Mythos。这一决定试图防止Anthropic最强大的模型被恶意行为者武器化，但实际上导致所有用户被排除在外，包括国内外防御者。

而在公司等待分层访问扩大以及联邦对特定模型公开可用性决定的同时，能力相当的开源模型仍然可供攻击者利用，而防御者本可以用那些前沿模型实时修补漏洞。

广泛访问前沿AI让防御者更好地为网络安全加速做好准备

假设你拥有主要支票账户的银行和攻击者都能访问同一先进AI系统，两者都在寻找银行的网络漏洞。此时银行拥有明显优势：它可以直接将模型部署到内部源代码上进行实时扫描。

这使银行能够超越攻击者，无论其是国家行为体、有组织犯罪还是独立黑客。广泛访问最先进AI使银行、公用事业提供商、云平台等能够预防性地持续扫描并修补漏洞，在攻击者利用之前。

网络安全中修补漏洞的优势——在安全漏洞被利用前关闭它——也体现在开源项目中。当Mythos Preview著名地发现了OpenBSD中存在27年的bug时，许多人感到恐慌。OpenBSD是一个以开放性为安全策略的开源操作系统，但这一事件恰恰证明了广泛访问最先进AI系统的合理性。

OpenBSD以其高度安全性著称，但即便是最优秀的工程师也错过了这个bug长达27年。诚然，代码公开后攻击者和防御者都能访问，但攻击者只能利用漏洞，而防御者可以永久修补。这并非对开源软件安全策略的指责，恰恰相反。广泛访问最先进AI系统建立在开源安全理念之上，赋予广泛防御者（不论大小）尖端工具，强化他们发现并关闭这些漏洞的能力。

监管者应抵制任意分层AI模型访问和限制模型本身的压力。美国在AI技术上仍保持优势，但绝不能自满或忘记如何走到今天。约束行业领先的AI会抑制美国最大优势之一：解放的私营部门。

众多企业家和工程师在企业间竞争，他们比官僚和政客组成的咨询小组更能评估风险、为防御者提供成功条件、维持美国在网络领域的优势。立法者不应通过集中AI和网络安全政策制定，阻碍网络防御者获取最有效的漏洞修补工具。更有效的方法是保持创新为先，采取开放和市场化的政策，让不断演进的前沿AI网络安全工具得以广泛使用。