新智元报说念

【新智元导读】本年4-5月，AI迎来「水门事件级」窗口：攻方落地、守方救急、杂音失控、处分失灵同期暴发。Anthropic主动封印Claude Mythos，只因它远大到必须送进末日火山。

全球最熟习的开源安全防地，要被AI说明活活淹死了！

莫得黑客攻破，莫得零白天隙炸。

AI间隙猎手们用兼并把刀、砍兼并棵树。

他们往兼并个邮箱里塞了成百上千封一模一样的说明，直到这套运转了二十多年的安全机制，透顶瘫痪。

5月17日，在每周内核情状更新里，Linus Torvalds的一句话让通盘这个词开源社区细想极恐：安全邮件列表「简直完全无法管制」。

这不是衔恨。这是Linux内核之父亲手签发的一张病危见告书。

全球最顶级的开源安全进程，扛过了二十年的黑客抨击、国度级APT浸透、无数次零日风暴。现时，被AI的「好心」压垮了。

更可怕的是，Linus点名了罪魁罪魁：不是AI器具自己，而是那些用AI扫一遍代码、发完说明回身就走的东说念主。

这种手脚号称「毫无酷好的晦气和假装使命。」

上图由AI生成

AI能以百倍速率发现间隙，但成就仍然需要东说念主类工程师坐下来读几千行代码、贯通模块依赖、写出不引入新bug的补丁。

此时，发现bug和成就之间的畛域，正在被AI撕成幽谷。

AI太强不是问题，东说念主类合作系统第一次被AI的产出速率正面击穿才是问题。

安全列表变垃圾场

神气略Linus为什么起火，先神气略这个安全邮件列表是什么。

Linux内核有一套精巧安全说明进程。

潜在间隙被发现后，说明要发到专用邮件列表，中枢惊奇者评估、成就、发补丁，走完进程后才公开。

这套机制运行了二十多年，是全球开源安全处分的标杆。

然后，AI来了。

Syzbot这类邋遢测试器具早就存在，但近两年LLM援救间隙检测的能力爆发式增长。

器具变强了，门槛变低了，越来越多的连系者——其中不少是安全赏金猎手——启动用AI批量扫描内核代码。

问题是，寰球用的器具大同小异，扫出来的间隙也大同小异。

兼并个bug，OD体育(ODSports)官网入口被不同东说念主用不同AI器具发现，然后差异提交到安全邮件列表。惊奇者掀开邮箱，十封说明说的是兼并件事。再掀开，又是十封。

更乖谬的是，这些AI发现的bug绝大多数根蒂不是什么机密信息。

它们在公开的代码里，用公开的器具就能找到，本色上不需要走精巧安全进程。但说明者不论这些，皆备往安全列表塞。

Linus的原话：寰球只顾着转发「已成就」或指向公开筹办，制造「完全无酷好的瞎折腾」（ entirely pointless churn）。

精巧安全进程的筹画初志，是处理实在敏锐的零白天隙。

现时，它被AI批量产出的低质料说明淹了。

Linux内核的惊奇者的时分被广泛突然在筛选叠加项上，实在危境的间隙反而可能被埋在垃圾里。

AI发现的bug用精巧进程处理，效果精巧进程成了垃圾桶。

都是AI惹的祸?

在当年，AG百家乐APP中国官方下载发现一个Linux内核间隙就足以封神。

你需要深厚的底层功底、一夜的逻辑复现和近乎直观的洞悉。

但现时，AI邋遢了这种界限。

所谓的「过客式说明」（Drive-by reporting），成为一种新的电子泔水冲击信息安全。

像Linus这么的顶级惊奇者，必须动用东说念主类最不菲的判辨资源，去解释一份 AI 生成的垃圾说明照实是垃圾。

零资本的发现与高资本的审计，这种「信息不合称」正在制造恐怖的「判辨DDoS抨击」。

当AI将发现Bug的旯旮资本降至零时，若是你莫得在AI的基础上加多任何「东说念主类增量」，你制造的就不是孝敬，而是熵增。

AI并莫得让安全变得更通俗，它仅仅让「制造杂音」变得不再有门槛。

需要明确的是，Linus Torvalds本东说念主并不反对使用AI，直言「爽脆使用它们，但要用得有凯旋，能带来更好的体验。」

把当年 18 个月放在一条时分线上，会看到一个明确的相变：

本年4-5月是AI信息安全的「水门事件级」窗口。

攻方落地、守方救急、杂音失控、处分失灵，四件事在 30 天内同期发生。

Anthropic的Claude Mythos简直能黑进寰球上简直任何软件。

Anthropic决定毁灭这种职权，启动Project Glasswing。他们想把那只魔戒送到末日火山。

这是AI历史上第一次因为「攻防失衡」，主动放置发布。

这绝非稠浊视听。

奇点将至，AI听说或成真

刚刚，Cloudflare首席信息安全官Grant Bourzikas坦承，Mythos非同凡响！

他公布了Anthropic未发布的 Mythos对50 多个自有坐褥仓库的测试效果。

据他所述，Mythos过于远大，在向公众发布前必须「加多罕见的安全严防门径」。

事实解释，该模子大概将多个低严重性间隙串联成具有可运行主张考证（PoC）的高危间隙哄骗，而此前的前沿模子最多只会留步于「真义的间隙，但尚不了了是否可被哄骗」。

在分类排查阶段，这意味着更少的拖泥带水的发现效果，以及花更少时分追问「这到底是不是确实？」。

附带PoC的发现效果，等于不错立即接收手脚的发现效果。

在安全方面， Cloudflare也明确表态。

Mythos预览版，并未包含Opus 4.7或GPT-5.5等通用模子所具备的安全严防门径。

该模子照实存在原生阻隔机制。

Cloudflare所发现，这些自愿的阻隔手脚并不一致：雷同的任务，若以不同形态表述或置于不同语境中，可能会产生霄壤之别的效果。

Cloudflare指出，这些机制的一致性不及以单独组成齐备的安全范围，任何异日面向公众发布的采集前沿模子，都必须在此基础之上罕见配备安全严防门径。

真义的是：Cloudflare起始并不在Project Glasswing的发布合作伙伴名单中，该名单包括Apple、AWS、Google、Microsoft、CrowdStrike等公司。他们是其后才受邀加入的。

现时，Mythos仍受质疑。

但Cloudflare直言，AI对安全的冲击毫不仅仅速率的问题：

实在的解法是架构重构。

与其压缩反映时分，不如让间隙即使存在也难以被哄骗。

这包括三层架构原则：

AI抨击能力的「广岛时期」，此次来了。

参考贵寓：

https://x.com/Dinosn/status/2056175689808679106

https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made--security-mailing-list-almost-entirely-unmanageable/5241633

https://x.com/IntCyberDigest/status/2056452732987248948?s=20

https://blog.cloudflare.com/cyber-frontier-models/

裁剪：KingHZ David