新智元报说念

【新智元导读】本年4-5月，AI迎来「水门事件级」窗口：攻方落地、守方济急、杂音失控、经管失灵同期暴发。Anthropic主动封印Claude Mythos，只因它巨大到必须送进末日火山。

全球最锻真金不怕火的开源安全防地，要被AI论说活活淹死了！

莫得黑客攻破，莫得零日轻佻炸。

AI轻佻猎手们用兼并把刀、砍兼并棵树。

他们往兼并个邮箱里塞了成百上千封一模一样的论说，直到这套运转了二十多年的安全机制，澈底瘫痪。

5月17日，在每周内核情状更新里，Linus Torvalds的一句话让统统开源社区细想极恐：安全邮件列表「简直完全无法经管」。

这不是怀恨。这是Linux内核之父亲手签发的一张病危奉告书。

全球最顶级的开源安全历程，扛过了二十年的黑客抨击、国度级APT浸透、无数次零日风暴。当今，被AI的「好心」压垮了。

更可怕的是，Linus点名了罪魁罪魁：不是AI器具自身，而是那些用AI扫一遍代码、发完论说回身就走的东说念主。

这种行径号称「毫无酷爱酷爱的阴私和假装使命。」

上图由AI生成

AI能以百倍速率发现轻佻，但配置仍然需要东说念主类工程师坐下来读几千行代码、领会模块依赖、写出不引入新bug的补丁。

此时，发现bug和配置之间的范围，正在被AI撕成平川。

AI太强不是问题，东说念主类互助系统第一次被AI的产出速率正面击穿才是问题。

安全列表变垃圾场

递次略Linus为什么动怒，先递次略这个安全邮件列表是什么。

Linux内核有一套玄机安全论说历程。

潜在轻佻被发现后，论说要发到专用邮件列表，中枢惊羡者评估、配置、发补丁，走完历程后才公开。

这套机制运行了二十多年，是全球开源安全经管的标杆。

然后，AI来了。

Syzbot这类无极测试器具早就存在，但近两年LLM援手轻佻检测的时期爆发式增长。

器具变强了，门槛变低了，越来越多的探究者——其中不少是安全赏金猎手——开动用AI批量扫描内核代码。

问题是，巨匠用的器具大同小异，扫出来的轻佻也大同小异。

兼并个bug，被不同东说念主用不同AI器具发现，然后分袂提交到安全邮件列表。惊羡者掀开邮箱，十封论说说的是兼并件事。再掀开，又是十封。

更乖僻的是，这些AI发现的bug绝大多数根底不是什么诡秘信息。

它们在公开的代码里，用公开的器具就能找到，本体上不需要走玄机安全历程。但论说者岂论这些，齐全往安全列表塞。

Linus的原话：巨匠只顾着转发「已配置」或指向公开征询，制造「完全无酷爱酷爱的瞎折腾」（ entirely pointless churn）。

玄机安全历程的蓄意初志，是处理真的敏锐的零日轻佻。

当今，它被AI批量产出的低质料论说淹了。

Linux内核的惊羡者的时期被大王人耗尽在筛选重叠项上，真的危急的轻佻反而可能被埋在垃圾里。

AI发现的bug用玄机历程处理，后果玄机历程成了垃圾桶。

王人是AI惹的祸?

在夙昔，博亚体育发现一个Linux内核轻佻就足以封神。

你需要深厚的底层功底、一夜的逻辑复现和近乎直观的瞻念察。

但当今，AI无极了这种界限。

所谓的「过客式论说」（Drive-by reporting），成为一种新的电子泔水冲击信息安全。

像Linus这么的顶级惊羡者，必须动用东说念主类最上流的领会资源，去阐发一份 AI 生成的垃圾论说照实是垃圾。

零本钱的发现与高本钱的审计，这种「信息不合称」正在制造恐怖的「领会DDoS抨击」。

当AI将发现Bug的旯旮本钱降至零时，如若你莫得在AI的基础上增多任何「东说念主类增量」，你制造的就不是孝顺，而是熵增。

AI并莫得让安全变得更简略，它仅仅让「制造杂音」变得不再有门槛。

需要明确的是，Linus Torvalds本东说念主并不反对使用AI，直言「疏漏使用它们，但要用得有奏效，能带来更好的体验。」

把夙昔 18 个月放在一条时期线上，会看到一个明确的相变：

本年4-5月是AI信息安全的「水门事件级」窗口。

攻方落地、守方济急、杂音失控、经管失灵，四件事在 30 天内同期发生。

Anthropic的Claude Mythos简直能黑进天下上简直任何软件。

Anthropic决定废弃这种职权，启动Project Glasswing。他们想把那只魔戒送到末日火山。

这是AI历史上第一次因为「攻防失衡」，主动放手发布。

这绝非骇东说念主闻见。

奇点将至，AI外传或成真

刚刚，Cloudflare首席信息安全官Grant Bourzikas坦承，Mythos非同凡响！

他公布了Anthropic未发布的 Mythos对50 多个自有分娩仓库的测试后果。

据他所述，Mythos过于巨大，在向公众发布前必须「增多特殊的安全驻防措施」。

事实阐发，该模子梗概将多个低严重性轻佻串联成具有可运行见地考证（PoC）的高危轻佻行使，而此前的前沿模子最多只会停步于「真谛的轻佻，但尚不明晰是否可被行使」。

在分类排查阶段，这意味着更少的牵丝攀藤的发现后果，以及花更少时期追问「这到底是不是真的？」。

附带PoC的发现后果，便是不错立即选拔算作的发现后果。

在安全方面， Cloudflare也明确表态。

Mythos预览版，并未包含Opus 4.7或GPT-5.5等通用模子所具备的安全驻防措施。

该模子照实存在原生拒却机制。

Cloudflare所发现，这些自愿的拒却行径并不一致：相似的任务，若以不同姿色表述或置于不同语境中，可能会产外行大不同的后果。

Cloudflare指出，这些机制的一致性不及以单独组成圆善的安全领域，任何畴昔面向公众发布的蚁合前沿模子，王人必须在此基础之上特殊配备安全驻防措施。

真谛的是：Cloudflare当先并不在Project Glasswing的发布合作伙伴名单中，该名单包括Apple、AWS、Google、Microsoft、CrowdStrike等公司。他们是其后才受邀加入的。

当今，Mythos仍受质疑。

但Cloudflare直言，AI对安全的冲击毫不仅仅速率的问题：

真的的解法是架构重构。

与其压缩反映时期，不如让轻佻即使存在也难以被行使。

这包括三层架构原则：

AI抨击时期的「广岛时刻」，此次来了。

参考而已：

https://x.com/Dinosn/status/2056175689808679106

https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made--security-mailing-list-almost-entirely-unmanageable/5241633

https://x.com/IntCyberDigest/status/2056452732987248948?s=20

https://blog.cloudflare.com/cyber-frontier-models/

剪辑：KingHZ David