随着引发“网络安全恐慌”的“神话”(Mythos)大模型公开发布在即,AI大模型龙头Anthropic周二宣布,向约150家新机构开放该前沿模型的预览,提前对网络基础设施的重大安全漏洞进行扫描和修复。 (来源:公司官网) Anthropic此前披露, 自从4月开始向50家初始合作伙伴开放预览后,“神话”大模型已经帮助这些机构找到超过一万个高危或严重安全缺陷,发现漏洞的速度提升了“十倍以上” 。 公司表示,周二扩展的150家新机构中,大多数为各自所在国家提供关键基础设施服务,例如电力、供水、医疗、通信和硬件行业。另外,许多Anthropic的关键供应商也拿到提前预览的权限。 在声明中,Anthropic表示这些机构的共同点是:对其代码库发动一次成功攻击可能带来灾难性后果。 对大多数合作伙伴而言,一次重大攻击可能影响超过1亿人。 据悉,韩国的三星、SK海力士、SK电信均获得提前预览资格。另外,北约和欧盟网络安全机构Enisa亦在本轮名单之列。 除了探测网络基础设施的重大安全漏洞外,“神话”大模型也具备业界领先的编程能力。Anthropic表示, 因为先进大模型能够挖掘出大量漏洞,网络安全的瓶颈已经变成验证、披露和修复快速涌现的高危漏洞。 作为首轮50家机构中,唯一已知获得访问权限的非美国实体,英国人工智能安全研究所(AISI)评估“神话”大模型后表示,该模型能够实施“需要人类专业人员数天工作”的复杂网络攻击。AISI也在上个月的一篇博客文章中指出,现在尚不清楚“神话”大模型是“与既有进展速度脱节的个别突破”,还是“更快发展趋势的一部分”。 Anthropic预计, 在未来6到12个月内,许多其他人工智能公司将拥有类似“神话”的模型 。在那种情况下,网络攻击可能会更频繁、形式更难预测。 值得关注的是,“神话”大模型的公开发布已经提上日程表。 在上周发布最新期间大模型Claude Opus 4.8的公告中,Anthropic曾提及, 预计将在“未来几周”向所有用户提供“神话”级别的模型 。 预测市场Polymarket的交易数据显示,交易者们认为“神话”大模型本月发布的概率只有26%,但在7月底前发布的概率达到67%。 另外有市场爆料称, OpenAI即将发布的GPT-5.6性能有望直逼“神话”大模型的水准 ,同时“使用成本低2-3倍”。 Anthropic也已在本周一宣布向美国证券交易委员会秘交招股书。按照普遍经验,如果美股市场未出现重大环境变化,Anthropic的IPO可能会在今年秋季落地。很显然,“神话”大模型是否真的像公司宣传的那么神奇,将是决定Anthropic上市后交易情绪的潜在关键因素。 查看评论
近日,X.Org 基金会披露,X.Org Server 及其 XWayland 组件在 6 月初被发现存在九个新的安全漏洞,其中八个由趋势科技的 TrendAI 零日挖掘计划借助人工智能技术发现,另一个则由红帽资深 X.Org 输入子系统开发者 Peter Hutterer 报告。 这表明,即便距十多年前安全研究者将 X.Org 服务器形容为“灾难、而且比看上去更糟”已经过去多年,这一老牌图形系统在安全层面的问题依然层出不穷。 * Font Alias Stack-based Buffer Overflow * XSYNC Use-After-Free in miSyncDestroyFence() * XKB Key Types Stack-based Buffer Overflow * XKB SetMap Request Stack-based Buffer Overflow * XSYNC Use-After-Free in FreeCounter() * XSYNC Use-After-Free in SyncChangeCounter() * GLX ChangeDrawableAttributes Out-Of-Bounds Read/Write * CreateSaverWindow Use-After-Free Information Disclosure * DRI2 DRIGetBuffers/DRIGetBuffersWithFormat Out-Of-Bounds Write 根据公开信息,此次暴露的九个漏洞涵盖了栈缓冲区溢出、越界读写以及多处 use-after-free 等典型内存安全缺陷,涉及字体处理、键盘布局、同步扩展、GLX 以及 DRI2 等多个子系统。 具体包括:Font Alias 栈基缓冲区溢出、XSYNC 在 miSyncDestroyFence() 中的 use-after-free、XKB Key Types 栈基缓冲区溢出、XKB SetMap 请求栈基缓冲区溢出、XSYNC 在 FreeCounter() 中的 use-after-free、XSYNC 在 SyncChangeCounter() 中的 use-after-free、GLX ChangeDrawableAttributes 越界读写、CreateSaverWindow use-after-free 信息泄露,以及 DRI2 在 DRIGetBuffers/DRIGetBuffersWithFormat 中的越界写入。 这些问题一旦被恶意利用,可能导致服务崩溃、越权访问甚至敏感信息泄露,对仍在使用 X.Org Server 的桌面与服务器环境构成实质性风险。 为应对上述风险,X.Org 项目已同步发布修订版本:xorg-server 21.1.23 与 xwayland 24.1.12,当晚即上线以修复这些最新披露的安全缺陷。 X.Org 基金会通过 xorg-announce 邮件列表发布了更为详细的技术说明和修复信息,呼吁相关发行版维护者和终端用户尽快完成版本更新,降低潜在攻击面。 在 Linux 图形栈持续演进、Wayland 部署逐步扩大的背景下,X.Org 服务器仍然在不少发行版和应用场景中扮演关键兼容角色,因此安全更新的及时性仍然至关重要。 值得关注的是,本次事件凸显了 AI/大模型在安全研究领域的日益重要作用:Trend Micro 的 TrendAI 零日计划在九个新漏洞中挖掘出了八个,体现出自动化分析和智能审计在老旧、大规模代码库中的高效性。 随着安全团队越来越多地采用 AI/LLM 工具对底层系统组件进行审计,X.Org Server 乃至 Linux 内核等基础软件在今年夏季可能会持续曝出更多历史遗留问题,同时也有望在修复过程中逐步提升整体安全基线。 了解更多: https://lists.x.org/archives/xorg-announce/2026-June/003702.html 查看评论
IT之家 5 月 27 日消息,受海水升温与冰川加速消融影响,如今全球海平面的上升速度已接近 20 世纪 60 年代的两倍。科学家表示,他们终于解开了海平面快速上升背后的一大关键谜题,这也让气候预测结果更具可信度。 海平面上升是人为引发气候变化最直观的后果之一。全球气温升高后,海洋吸收热量并发生水体膨胀,同时不断消融的山岳冰川与巨型冰盖也持续向海洋注入大量水体。科学家称,这一趋势难以逆转,且大概率会持续数百年。 一项全新的国际研究,清晰阐释了过去 60 年间全球海平面上升的主要诱因,同时化解了长期存在的数据偏差问题,此前科学家一直无法对观测到的海平面涨幅做出完整解释。 全球海平面上升速度持续加快 这项由中国科研人员主导、发表于《科学・进展》期刊的研究显示,1960 年以来,全球海平面年均上升 2.06 毫米。更值得警惕的是,近几十年来上升速率大幅飙升, 2005 年至 2023 年间,年均涨幅达到 3.94 毫米。 研究团队证实,海水升温是造成海平面上升的首要因素,自 1960 年以来,其贡献占比达 43%。海水受热后体积膨胀、占据更大空间,即便没有额外水源汇入,海平面也会随之升高。 冰川消融同样影响显著:山岳冰川消融贡献了 27% 的涨幅,格陵兰冰盖占 15%,南极冰盖占 12%,陆地储水量变化则构成剩余 3% 的涨幅。 研究还发现,各类影响因素的作用强度随时间不断变化。早期,海水升温与陆地储水变化是主导因素;而自 20 世纪 90 年代起,山岳冰川、格陵兰及南极冰盖的消融速度不断加快,逐渐成为海平面上升的主要推手。 研究人员提醒,未来数十年内,上述趋势仍将延续。 科学家补齐海平面观测数据缺口 长期以来,气候领域的科学家一直面临一个难题:实际观测到的海平面上升幅度,与依据海水升温、冰川消融等已知因素推算出的数值始终存在偏差。 而这项新研究终于填补了这一数据缺口。 该研究合著者、圣托马斯大学工程学院约翰・亚伯拉罕教授表示:“多年来,海平面实际观测涨幅和各类成因推算结果之间始终存在难以解释的差距。本次研究证明,借助更精密的设备、更完善的理论模型与更科学的分析方法,我们能够消除这一认知盲区,也能更准确地解读海平面上升现象。” 据IT之家了解,这支国际研究团队由中国科学院大气物理研究所、杜兰大学、美国国家科学基金会下属国家大气研究中心、圣托马斯大学的科研人员,以及法国相关领域学者共同组成。 科研人员通过多项技术突破攻克了难题:修正了 2015 年后出现数据漂移的卫星观测结果,优化了海岸验潮站周边陆地运动的监测方式,同时进一步精准测算出格陵兰与南极地区的冰川消融量。 海平面上升或将持续数百年 研究结果还表明,气候变化引发的海平面上升具有长期持续性。科学家认为,即便未来温室气体排放最终趋于稳定,海平面上升的态势仍会延续数代人的时间。 原因在于,海洋升温过程缓慢,且会在深海区域储存巨量热量;体量庞大的冰川与冰盖对气温升高的反应也存在滞后性,气温变暖开始后,它们仍会在很长一段时间里持续消融。受地球气候系统这种长期惯性影响,研究人员预判,海平面上升现象还将持续数百年。
IT之家 5 月 23 日消息,Anthropic 昨日(5 月 22 日)发布公告,披露称 Project Glasswing 项目上线 1 个月后,携手约 50 家合作伙伴, 已在关键软件中挖掘出超过 1 万个高危(High)和关键(Critical)级别漏洞。 根据 Project Glasswing 项目合作方的反馈,Claude Mythos Preview 模型已显著提升漏洞发现能力,部分团队的找漏洞速度提升超过 10 倍, 当前瓶颈已从“发现漏洞”转向“验证、披露与修补漏洞”。 Cloudflare 披露,其在关键路径系统中发现 2000 个漏洞,其中 400 个属于高危或严重级别,且误报率优于人工测试。 Mozilla 在 Firefox 150 中修复 271 个漏洞,这一数量超过使用 Claude Opus 4.6 测试 Firefox 148 时的 10 倍。 在外部评测中,Mythos Preview 也表现突出。英国 AI Security Institute 称其是首个端到端攻破 2 个网络攻防靶场的模型。 独立安全平台 XBOW 认为,该模型在网页利用基准上的表现明显强于现有模型,并具备极高精度。 IT之家援引博文介绍,针对开源软件,Anthropic 过去几个月已扫描 1000 多个开源项目,合计发现 23019 个漏洞(包括中危和低危),其中 6202 个被模型估计为高危或严重级别。 当前已有 1752 个高危或严重漏洞完成人工复核, 确认其中 1587 个为真实漏洞,真实率达 90.6% ;其中 1094 个被确认仍属高危或严重级别,占比 62.4%。 按当前复核后命中率估算,即便后续不再新增漏洞,最终也可能沉淀出近 3900 个开源高危或严重漏洞。 真正困难的环节在修补。Anthropic 称,高危或严重漏洞从发现到补丁落地,平均需要 2 周,部分开源维护者甚至要求放慢披露节奏,其处理 AI 生成漏洞报告的能力已接近上限。
IT之家 5 月 8 日消息,Mozilla 工程师昨日(5 月 7 日)发布博文, 披露使用 Anthropic 最强 AI 模型 Claude Mythos,排查出 271 个火狐 Firefox 浏览器安全漏洞幕后细节。 IT之家曾于上月(2026 年 4 月)报道,Mozilla 团队借助 Anthropic 的 Mythos Preview AI 模型,在火狐 Firefox 浏览器 150 版本中,发现并修复了 271 个漏洞。 Mozilla 回应外界质疑,在最新博文中指出,在发现的 271 个漏洞中,有 180 个达到“高危”级别,意味着用户正常浏览网页就可能触发;此外 80 个为中危,11 个为低危。 Mozilla 为了证明这不是 AI 炒作,公开了其中 12 份完整的 Bugzilla 报告。 Mozilla 工程师表示为了解决 AI 找 Bug 的“幻觉”顽疾,开发了专属的 Agent Harness(智能体套件)。此前让 AI 分析代码往往产出大量看似合理实则虚构的报告,人工复核成本极高。而这次突破主要归功于两点:模型自身能力提升,以及这套定制化套件。 这款套件向模型下达指令(如“在这个文件中找 Bug”),提供读写文件、评估测试用例等工具,并循环运行直到任务完成。 具体流程中,套件指向特定源文件,Mythos 自主构造测试用例,例如生成特定 HTML 代码,随后调用现有模糊测试工具运行。若触发内存崩溃,则判定找到漏洞。为了进一步过滤误报,Mozilla 引入第二个大模型对首个模型的输出打分,高分报告才交付开发者。 Mozilla 杰出工程师 Brian Grinstead 表示,经过双重验证,最终产出的漏洞报告几乎没有误报。这给了工程师明确的确认信号:问题存在,修复完成,且测试用例入库后不会复现。 参考 Behind the Scenes Hardening Firefox with Claude Mythos Preview
IT之家 4 月 22 日消息,连线(Wired)昨日(4 月 21 日)发布博文,报道称本周发布的火狐 Firefox 浏览器 150 稳定版中, Mozilla 借助 Anthropic 的 Mythos Preview AI 模型,发现并修复了 271 个漏洞。 IT之家此前报道,双方已在 Firefox 148 版本中开展合作, 使用 Opus 4.6 模型成功检出 22 个漏洞 。 Mozilla Firefox 首席技术官 Bobby Holley 指出,以往漏洞测试主要结合模糊测试等自动化工具与人工分析,难以覆盖所有漏洞类型,攻击者若投入巨资仍有机可乘。 而 AI 几乎能覆盖所有漏洞空间,迫使所有软件必须经历一次彻底的“安检过渡期”,挖掘并修复深藏代码中的隐患。 这一变革对开源软件生态挑战巨大。许多全球通用的开源项目仅由少数志愿者维护,甚至处于无人维护状态。Holley 指出,大厂尚可调动数千工程师应对,但小型项目维护者既缺乏资源,也无力应对海量的漏洞修复工作。 Mozilla CTO Raffi Krikorian 也撰文警示,AI 技术可能加剧既有不公:最关键的基础设施常由免费劳动力维护,而大企业却免费搭便车。 拥有资源的组织将率先获得防护能力,弱势一方则更易暴露在风险中。Mozilla 目前正积极向开源社区分享经验与工具,试图弥合这一安全鸿沟。 相关阅读: 《 火狐 Firefox 浏览器被 Claude AI 两周挖出 14 个高危漏洞,相当于 2025 年修复总数 20% 》 《 火狐 Firefox 浏览器 150 发布:增强分屏视图、优化 PDF 阅读器、新增实时隐私翻译 》
IT之家 4 月 16 日消息,科技媒体 bleepingcomputer 昨日(4 月 15 日)发布博文,报道称在 2026 年度 Zero Day Quest 黑客大赛中, 微软共计收到近 700 份漏洞提交,支付 230 万美元(IT之家注:现汇率约合 1571.5 万元人民币)奖金。 IT之家注:Zero Day Quest 是微软主办的年度黑客大赛,专门针对微软产品和服务的安全漏洞挖掘活动。参与者需在授权环境中进行测试,发现的高危漏洞可获得高额奖金。 2026 年奖金池达 500 万美元,为微软历史上规模最大的安全研究赛事。与普通漏洞赏金计划不同,Zero Day Quest 更聚焦云和 AI 平台的高影响漏洞。 微软安全响应中心(MSRC)工程副总裁 Tom Gallagher 透露,在雷德蒙德园区举办的现场活动中, 研究人员发现了 80 多个高影响的云和 AI 安全漏洞。 参与者来自 20 多个国家,职业背景跨度极大,从高中生到大学教授均有参与。所有测试均在授权环境中进行,遵循微软的交战规则,在未访问客户数据或其他租户系统的情况下验证潜在影响。 在这些约束条件下,研究人员识别出涉及凭证暴露、SSRF 链和跨租户访问的关键攻击路径。这些漏洞类型对云和 AI 平台安全构成严重威胁,一旦被恶意利用可能导致大规模数据泄露。