Mythos 帶來了什麼改變?Ricerca Security 發布白皮書,闡述 AI 漏洞診斷的現況與內部開發的判斷標準
Ricerca Security Inc. 發布了一份白皮書,詳細闡述了 AI 驅動的漏洞診斷最新趨勢以及內部實施的設計要求。這份出版物探討了「Claude Mythos」所帶來的漏洞發現模式轉變,強調漏洞現在被發現的速度更快,並概述了企業考慮 AI 診斷時的實用性、限制和決策標準。
📋 文章處理履歷
- 📰 發表: 2026年4月29日 00:00
- 🔍 收集: 2026年4月28日 15:31
- 🤖 AI分析完成: 2026年4月28日 16:09(收集後37分鐘)
Ricerca Security Inc. 發布了一份白皮書,整理了 AI 漏洞診斷的最新趨勢以及內部實施所需的設計要求。
2026 年 4 月發布的「Claude Mythos」報告稱,AI 自主發現了數千個高嚴重性漏洞,這從根本上改變了漏洞發現的前提。漏洞正從「難以發現」轉變為「更快被發現」。
本文件系統地整理了這種變化所蘊含的結構性轉變、AI 漏洞診斷的實際情況和局限性,以及企業考慮內部實施時的判斷標準。此外,基於我們在實際運營中驗證的知識,它還解釋了諸如「導入後是否能發揮作用」和「在哪裡會失敗」等實際問題。
對於考慮導入或內部實施 AI 診斷的企業,以及希望審查其當前安全體系的企業來說,這份內容將作為決策材料。
免費下載白皮書
Mythos 帶來了什麼?漏洞發現的結構正在改變
2026 年 4 月,Anthropic 發布了「Claude Mythos Preview」。
這項公告報告稱,AI 自主探索了 OpenBSD 和 FreeBSD 等廣泛使用的軟體中的漏洞,發現了數千個高嚴重性漏洞。
值得注意的是,其中包含了多年未被發現的錯誤,以及逃過現有模糊測試和人工審查的問題。
這不僅僅是精度的提高。
迄今為止,漏洞發現是由數量有限的專業人員耗時完成的,但這一前提正在崩潰。
漏洞正從「難以發現」轉變為「更快被發現」。
這種變化同時影響防禦方和攻擊方。
由於攻擊者也可以加速其探索,
安全正從「能否防禦」的競爭轉變為「能多快發現,能多快響應」的競爭。
為什麼我們處理這個主題
我們公司是一個專注於漏洞發現的攻擊性安全團隊。
除了發現零日漏洞和高級診斷外,我們還從早期階段就積極參與利用生成式 AI 進行漏洞檢測的實際操作。
2025 年,我們在一個利用生成式 AI 的診斷項目中,在一周內發現並報告了 13 個漏洞。
基於這些實際經驗,我們驗證了 AI 驅動漏洞發現的可能性和局限性。
這份白皮書基於這些演示和分析,評估了 Mythos 的意義。
本文件整理的內容
這份白皮書系統地解釋了以下內容:
- Mythos 之後發生了什麼變化
- AI 驅動漏洞發現的實際情況和局限性
- 從行業驗證(AISLE、Xint)中看到的共同點
- 企業應採取的應對方向
- 考慮內部實施的判斷標準
- 建立內部實施的設計要求
免費下載白皮書
AI 可以發現漏洞——但僅此還不夠
自 Mythos 以來,有一件事變得清晰。
AI 確實可以發現漏洞。
另一方面,AI 輸出的許多漏洞候選者本身並不是實用的診斷結果。
為了實際使用,以下步驟是不可或缺的:
- 排除誤報
- 驗證可利用性
- 評估影響範圍
- 判斷優先級
AI 診斷的實際功能取決於這些過程的設計方式。
換句話說,造成差異的不是模型的性能,而是圍繞模型構建的系統設計。
在本文件中,這種設計被整理為「Harness Engineering」。
什麼是 Harness Engineering?
Harness Engineering 是一種設計理念,它不依賴於 AI 模型本身的單一能力,而是包括 AI 模型前後的整個過程——在哪裡探索、如何驗證以及如何評估結果。
在漏洞發現中,識別攻擊面、驗證候選者和排除誤報是不可或缺的步驟。如果沒有設計這些就應用 AI,可能會輸出大量候選者,但結果在實踐中往往難以處理。
事實上,在沒有事先目標的情況下掃描整個代碼時,誤報會增加,並且分類負擔可能會比導入 AI 之前更大。
因此,在 AI 漏洞診斷中,問題不在於「使用哪個模型」,而在於
2026 年 4 月發布的「Claude Mythos」報告稱,AI 自主發現了數千個高嚴重性漏洞,這從根本上改變了漏洞發現的前提。漏洞正從「難以發現」轉變為「更快被發現」。
本文件系統地整理了這種變化所蘊含的結構性轉變、AI 漏洞診斷的實際情況和局限性,以及企業考慮內部實施時的判斷標準。此外,基於我們在實際運營中驗證的知識,它還解釋了諸如「導入後是否能發揮作用」和「在哪裡會失敗」等實際問題。
對於考慮導入或內部實施 AI 診斷的企業,以及希望審查其當前安全體系的企業來說,這份內容將作為決策材料。
免費下載白皮書
Mythos 帶來了什麼?漏洞發現的結構正在改變
2026 年 4 月,Anthropic 發布了「Claude Mythos Preview」。
這項公告報告稱,AI 自主探索了 OpenBSD 和 FreeBSD 等廣泛使用的軟體中的漏洞,發現了數千個高嚴重性漏洞。
值得注意的是,其中包含了多年未被發現的錯誤,以及逃過現有模糊測試和人工審查的問題。
這不僅僅是精度的提高。
迄今為止,漏洞發現是由數量有限的專業人員耗時完成的,但這一前提正在崩潰。
漏洞正從「難以發現」轉變為「更快被發現」。
這種變化同時影響防禦方和攻擊方。
由於攻擊者也可以加速其探索,
安全正從「能否防禦」的競爭轉變為「能多快發現,能多快響應」的競爭。
為什麼我們處理這個主題
我們公司是一個專注於漏洞發現的攻擊性安全團隊。
除了發現零日漏洞和高級診斷外,我們還從早期階段就積極參與利用生成式 AI 進行漏洞檢測的實際操作。
2025 年,我們在一個利用生成式 AI 的診斷項目中,在一周內發現並報告了 13 個漏洞。
基於這些實際經驗,我們驗證了 AI 驅動漏洞發現的可能性和局限性。
這份白皮書基於這些演示和分析,評估了 Mythos 的意義。
本文件整理的內容
這份白皮書系統地解釋了以下內容:
- Mythos 之後發生了什麼變化
- AI 驅動漏洞發現的實際情況和局限性
- 從行業驗證(AISLE、Xint)中看到的共同點
- 企業應採取的應對方向
- 考慮內部實施的判斷標準
- 建立內部實施的設計要求
免費下載白皮書
AI 可以發現漏洞——但僅此還不夠
自 Mythos 以來,有一件事變得清晰。
AI 確實可以發現漏洞。
另一方面,AI 輸出的許多漏洞候選者本身並不是實用的診斷結果。
為了實際使用,以下步驟是不可或缺的:
- 排除誤報
- 驗證可利用性
- 評估影響範圍
- 判斷優先級
AI 診斷的實際功能取決於這些過程的設計方式。
換句話說,造成差異的不是模型的性能,而是圍繞模型構建的系統設計。
在本文件中,這種設計被整理為「Harness Engineering」。
什麼是 Harness Engineering?
Harness Engineering 是一種設計理念,它不依賴於 AI 模型本身的單一能力,而是包括 AI 模型前後的整個過程——在哪裡探索、如何驗證以及如何評估結果。
在漏洞發現中,識別攻擊面、驗證候選者和排除誤報是不可或缺的步驟。如果沒有設計這些就應用 AI,可能會輸出大量候選者,但結果在實踐中往往難以處理。
事實上,在沒有事先目標的情況下掃描整個代碼時,誤報會增加,並且分類負擔可能會比導入 AI 之前更大。
因此,在 AI 漏洞診斷中,問題不在於「使用哪個模型」,而在於