硅谷大模型的“安全承诺” 正让世界失去安全感

作者：李海伦，腾讯科技

最近，Anthropic和OpenAI都在推动一件事：改变传统安全漏洞发现与分析能力的生产方式。

4月7日，Anthropic发布新一代模型Claude Mythos 预览版，同时启动“Project Glasswing（玻璃翼计划）”，引起了市场的连锁反应。

Mythos甚至都没有公开发布就已引发极大的市场恐慌。因为有人发现漏洞，就有人利用漏洞，甚至转化为攻击能力。安全问题从未如此严峻。

在Mythos发布后的首个交易日，CrowdStrike、Palo Alto Networks、Zscaler等多家安全厂商股价出现明显下跌，跌幅一度达到两位数。

OpenAI或许是洞悉了人们对“魔高一尺，道高一丈”的期待心理。

4月15日，OpenAI推出GPT-5.4-Cyber：面向网络安全防御者的“特权模型”。OpenAI还宣布扩大“网络安全可信访问”（TAC）计划，向数千名经过验证的个人防御者和数百个负责关键软件安全的团队开放。

看似是两个大模型公司的竞赛，但背后都是美国大模型公司对安全能力的一次新尝试。

一位从业网络安全多年的工程师坦言，看到这类消息的第一反应是危机感：“这两件事儿关键不在模型有多强，而是未来找漏洞这件事的方式变了”。

AI安全公司BraneMatrix布兰矩阵创始人兼CEO李光辉表示：“传统网络安全问题正在被算法化重构，而算法本身的安全，将上升为AI原生安全，成为新时代的核心技术能力”。

为什么这类大模型的发布，会带来如此大的外溢效应？如果漏洞挖掘能力可以被模型规模化复制，那么未来网络安全行业的能力门槛是否正在被重写？行业的竞争方式会发生怎样的变化？

变革来了

传统的网络安全，核心依赖的是人的经验、判断和长期积累。

一位资深网络安全工程师说：“有人发现漏洞，有人利用漏洞，有人修补漏洞；攻击手段不断升级，防御手段也随之跟上。所以过去的安全行业，没有人一开始就拥有完整的安全能力，也没有哪一家公司可以一直领先，一切都依赖积累”。

在网络安全行业，攻击与防御之间存在时间差，漏洞被发现、被利用，再被修复，新的工具不断出现，能力在实践中逐步扩散。无论是企业内部团队，还是像CrowdStrike、Palo Alto Networks等这样的安全厂商，本质上都在做同一件事：把复杂的安全能力产品化，再交付给企业客户。

但是，随着AI大模型厂商的加入，出现了一种不同以往的路径。安全能力不再是依靠人和经验、靠长期对抗积累，而是一部分能力开始被直接封装进模型中，变成可以被调用的能力。

不论是Mythos还是GPT-5.4-Cyber，我们都需要进一步的警觉，这类新型安全能力的分配逻辑及其潜在影响。

GPT-5.4-Cyber，核心亮点是针对防御性安全用例做了微调，降低了对合法安全操作的拒绝率。以前工程师让AI帮助做测试系统漏洞或分析可疑代码，它可能会直接拒绝，因为分不清是在防御还是攻击，而GPT-5.4-Cyber专门解决这个问题，对安全研究者“放宽门槛”。另外在部署上采用分级信任机制，比Mythos的“名单制”更开放。

而Anthropic的Mythos并不是专门为网络安全训练，但它本身的通用能力已经强到“溢出”到了安全领域，可以自己去理解代码、发现漏洞，甚至复现和利用这些漏洞，而且比以往模型强了不止一代。

按照官方披露，Mythos已经在主流操作系统和浏览器中发现了数千个零日漏洞，其中不少属于高危级别。在某些能力上，它甚至已经超过了绝大多数安全工程师，而且整个过程基本不需要人参与，可以自己完成。

相比能力本身的提升，背后更值得我们关注的是：不论是哪类模型，当大模型的代码理解和安全分析能力足够强，一旦放开限制或获得授权，它就可以用来挖漏洞，甚至转化为攻击能力。并且，当大模型具备这种能力，人不再是唯一的能力来源。

替代和冲击

多位从业者在交流中给出的判断趋于一致——短期内，这种替代并不会发生。

“大家容易把问题想简单了”，李光辉说，“安全能力不是单一技术能力，而是一整套体系”。

传统网络安全行业横跨网络防护、身份认证、威胁情报、风控体系等多个细分领域，这些能力并非单靠模型推理就可以覆盖。

李光辉认为，传统安全行业覆盖了网络安全、身份认证、威胁情报、风控等众多细分领域，其中企业基础安全服务仍然有很强的刚需。

“而且，传统大厂在威胁情报数据上的积累，比如包括黑灰产攻击涉及的IP、文件哈希值（通过特定算法将文件内容转换为固定长度的字符串）等非公开的IOC情报库，这仍然是Mythos这类模型短期内无法替代的壁垒，在黑灰产攻击检测和互联网风控等需要特殊数据支撑的场景中，模型目前还看不到明显的替代优势”，他说。

不仅如此，安全的“最后一公里”，依然高度依赖人。

一位资深渗透测试工程师举例说明：一次完整的渗透测试，往往需要从互联网暴露面入手，逐层深入到企业内网乃至核心系统。这个过程中，不仅要面对复杂的系统环境，还要不断绕过验证码、人机校验、动态策略等非标准化防护机制。“很多时候，真正决定成败的，不是工具本身，而是现场判断和临场策略”。

不过，短期内虽然难以产生实质性替代，但冲击已经不可避免。

我们当下需要直面的是，变化已经在发生。当大模型在迅速接管漏洞分析、代码审计、攻击路径推演等原本高度依赖人工的环节，并以更低成本、更高频率运行。这意味着，安全行业的价值结构正在被重塑：基础能力被压缩，高阶能力被放大。

“一旦发生这样的转变，整个行业的运行逻辑都会被重构”，一位资深安全研究员说，“随着AI编码与理解能力的提升，安全能力本身会被极大放大，传统依赖人力经验的网络安全体系会逐渐被削弱。这种变化不是替代，而是产业的重心转移”。 

风险和危机

Anthropic官方表示：Mythos是一个“仅用于防御”的模型，只在一个由52家科技公司组成的封闭联盟中开放。成员包括亚马逊、苹果、博通、思科、谷歌、微软和英伟达等。

Anthropic给出的理由是Mythos安全护栏尚未成熟，如果全面开放等于同时把攻击工具交给了防御者和攻击者。所以大模型厂商希望先让合作伙伴使用，先修复关键基础设施的漏洞，再做逐步开放。

它的考虑有其道理，但是也引发了行业的担忧：因为，在实际的安全行业语境中，“防御”本身从来不是一个纯粹的概念。像网络安全中涉及到的渗透测试、红队演练、漏洞验证，这些看起来像“攻击”的行为，恰恰是防御的基础。

举个例子，有安全研究发现，大模型公司都会给自己的先进模型加很多限制，防止被用来做攻击。但通过一些非常规方式（例如使用文言文、古梵文或古拉丁文等“绕行表达”），一些大模型在特定情况下仍可能突破限制，进入一种几乎不再约束输出的状态。那么，只要有人有能力绕过这些限制，就可以用这些模型去做攻击，而不只是做防御。

换句话说，防御，本质上是“为了防守而进行的攻击模拟”。当模型的代码理解和安全分析能力足够强时，攻与防之间的边界会迅速变得模糊，也因此厂商很难真正精确控制这条边界。

除了安全考量之外，外界还有其他的解读。

风险投资人Marc Andreessen质疑Anthropic是否真的因为安全顾虑而限制发布，还是因为缺乏足够的算力来支撑大规模公开使用。Marc Andreessen提到，Anthropic最近频繁出现服务中断，并在高峰时段限制了用户的算力供给。

李光辉表示不认同Anthropic的做法：“其实这种所谓的‘防御性质’，本质上是将模型能力优先开放给苹果、谷歌、微软、IBM等美国的软件及云服务厂商。安全性应该通过公开对抗来验证，而不是由少数主体单方面定义和背书。如果安全评估的标准、测试环境和结果都不透明，那么这种‘安全性’本身就缺乏公信力”。

我们需要深刻关注的一点是，不论是Anthropic的Mythos还是OpenAI的GPT-5.4-Cyber，都是优先服务于美国科技生态的安全工具。

如果一项关键技术只面向特定国家或少数机构开放，而不是面向全球行业扩散，往往会逐渐呈现出一定的“技术壁垒”甚至“技术主导权”。

类似的情况在其他领域早已有所体现，比如美国对NVIDIA的高端GPU（如H200、B300）长期对部分国家限制出口、到早期加密技术的管控等，核心能力一旦被限制流动，行业结构往往会随之发生变化。

这与网络安全行业长期形成的一种做法存在一定偏离。过去几十年里，“Ethical Hacking（道德黑客）”逐渐成为一种主流实践，配合负责任的协同披露机制（Responsible Coordinated Disclosure），鼓励更多安全研究人员参与进来，通过发现漏洞、披露问题，来整体提升系统安全水平。虽然这并非一条被所有人严格遵守的规则，但在传统网络安全领域，一直是行业运行的重要基础。

我们需要思考的是：在这样一个封闭联盟中，未来这种界定权是否会开始收拢到少数国家或主体手中？那么，未来对于网络安全的评估方式、验证路径乃至话语权，可能都会迎来变局。

这些变化，最终都会回到一个更现实的问题：行业中的每一个参与者，将如何重新定位自己。

总之，对于传统安全厂商来说，未来的出路，需要尽早想清楚了。