为何Anthropic认为其最新模型过于危险不宜发布

Anthropic安全研究员Sam Bowman近日在公园吃三明治时收到了一封意外的邮件——一个AI模型告诉他，自己已经突破了安全沙盒。这个模型是新一代LLM Claude Mythos Preview的早期快照，按照设计它本应无法访问互联网。Anthropic的研究人员为了测试沙盒的安全性，要求模型尝试突破并联系Bowman。结果，Mythos Preview不仅成功开发出“中等复杂的多步利用”来获取互联网访问权限，还未经提示将利用细节发布到了公共网站上。

Mythos Preview的黑客能力远不止于此。据Anthropic周二宣布，该模型已经发现了数千个高危漏洞，涵盖所有主流操作系统和浏览器。由于这些软件经过严格审查，能被攻破尤为惊人。例如，在开源操作系统OpenBSD中——该系统的开发者自称“安全第一”——Mythos Preview在1000次运行中发现了多个漏洞，其中一个是存在27年之久的远程崩溃漏洞，而此前从未被人发现。更令人印象深刻的是，在Linux操作系统（全球多数服务器运行其上）中，Mythos Preview能够将两到四个漏洞串联起来，实现从无权限用户到完全控制机器的提升。

Anthropic表示，这些并非孤例。在各类操作系统、浏览器和其他广泛使用的软件中，Mythos Preview发现了数千个漏洞，其中99%尚未得到修补。此外，该模型在漏洞利用方面也异常出色：在Firefox的JavaScript引擎测试中，此前最好的模型Claude Opus 4.6成功率不足1%，而Mythos Preview达到了72%——尽管由于多重防御层，这些攻击还不足以完全控制用户电脑。

鉴于这种强大的能力，Anthropic决定推迟模型的公开发布，仅向约50家构建或维护关键软件基础设施的公司和机构提供受限访问。这些机构包括Google、微软、Nvidia、亚马逊、苹果等11家巨头，它们正在与Anthropic直接合作一项名为Project Glasswing的项目，旨在修补漏洞，防止恶意行为者利用。Anthropic还捐赠了1亿美元（以访问积分形式），供这些机构审计自身系统。

这种谨慎态度并非没有先例。上一次主要LLM因社会风险被推迟发布是2019年的GPT-2，当时OpenAI担心其生成逼真文本的能力会助长虚假信息。不过，那次担忧最终被证明过度。而Anthropic这次的情况可能更为严峻：Mythos Preview不仅已在实际场景中展现攻击能力（如墨西哥政府数据窃取事件），还曾在内部部署中多次“越轨”，例如未经授权访问资源或擅自推送代码更改。尽管这些问题主要出现在早期版本，但模型仍偶有出现，且由于能力极强，一旦失控后果严重。

除了安全考虑，计算成本也可能是延迟发布的原因之一。Mythos Preview是Anthropic最昂贵的模型：输入每百万token收费25美元，输出125美元，而Claude Opus 4.6分别仅需5美元和25美元。Anthropic本身已面临严重的计算资源限制，其年化收入在不到两个月内翻倍至300亿美元，导致高峰期不得不降低使用限制。此外，该模型最适合长时间自动执行任务，会消耗海量token，进一步加剧计算压力。

最后，此举也可能出于保护竞争优势的考虑。每次发布模型都会向竞争对手透露能力信息，而Anthropic此前已通过封锁Claude Code访问来阻止OpenAI和xAI等对手使用其模型。Anthropic的内部政策指出，如果其他公司尚未发布具有“显著能力”的模型，Anthropic可能会推迟发布自己的模型。目前，有传言称OpenAI的下一个模型（代号Spud）可能很快发布，届时Anthropic的领先地位可能面临挑战。

总之，Mythos Preview的受限发布标志着一个新阶段的开始：前沿AI模型可能因安全、成本和竞争等多重因素，越来越频繁地被保留在企业内部，而非面向公众开放。