2026年4月7日,Anthropic发布Claude Mythos Preview,在对约7000个开源代码入口点的测试中发现了数千个零日漏洞,其中部分已潜伏一二十年。本文不分析Mythos的具体技术能力,而是对这些零日漏洞的历史形成机制进行溯因分析。我们提出:零日漏洞的根因不是编码错误,而是第一代架构设计者在当时物理约束下的合理妥协,经过教科书传承成为”正确路径”,被后续开发者锁定为不可质疑的前提,最终与持续演进的硬件现实产生涌现性不兼容。Mythos之所以能发现这些漏洞,不是因为它”更聪明”,而是因为它在高维向量空间中进行无路径依赖的矩阵运算,从而绕过了人类知识传承的代际锁定效应。V2版本新增三项关键内容:(一)使用Mythos公开的三个旗舰漏洞(OpenBSD 27年TCP SACK、FFmpeg 16年H.264、FreeBSD 17年NFS RCE)对因果模型进行实证验证,全部预测获得确认;(二)提出”溯因定向扫雷”方法论,论证通过溯因逻辑定位漏洞栖息地可以用远低于Mythos的算力实现定点发现;(三)将Mythos的暴力搜索模式与溯因定向模式进行系统对比,提出”暴力破解 vs 定点扫雷”的范式区分。
核心命题
2026年4月,Anthropic发布的Claude Mythos Preview在网络安全领域引发了广泛震动。该模型在测试中发现了数千个此前未知的零日漏洞,其中许多已在主流操作系统和浏览器中潜伏了十到二十年。媒体的主流叙事是:AI变得”太强大了”,以至于能找到人类找不到的漏洞。
本文提出一个不同的问题:为什么这些漏洞能在那里藏二十年而不被发现?
我们的回答是:这些漏洞不是编码错误的产物,而是人类知识传承模式的结构性缺陷在软件领域的具体表现。它们的形成遵循一条清晰的因果链——
而Mythos之所以能发现它们,不是因为它具备超越人类的”智慧”,而是因为它的信息处理方式——高维向量空间中的无路径依赖矩阵运算——从根本上绕过了这条因果链中的代际锁定环节。
Mythos的关键发现数据
在进入溯因分析之前,有必要准确呈现Mythos的测试结果。以下数据来自Anthropic前沿红队的技术报告(2026年4月7日发布)。
最值得注意的一个事实是:Anthropic明确声明,Mythos并未被专门训练来发现安全漏洞。这些能力是通用推理和代码能力提升后的涌现性副产品。
这意味着:漏洞的发现不依赖于特定的安全知识,而依赖于一种更底层的能力——在高维空间中识别信息分布的不一致性。这为我们的溯因分析提供了关键线索。
第一代架构师的物理约束
任何软件系统的起点都是硬件。而硬件在每一个时间点上都有其物理极限——晶体管数量、时钟频率、缓存层级、内存带宽、制造工艺。第一代架构师在这些约束下做出设计决策,这些决策在当时是合理的,甚至是最优的。
以C语言为例。C诞生于1972年,其内存管理模型——手动指针操作、缓冲区由程序员管理、无边界检查——是为PDP-11处理器量身定做的。在那个硬件上,内存是平的、执行是顺序的、指针指向的地方就是那个地方。这些假设在PDP-11上完全正确。
但这些假设不是永恒真理。它们是特定物理约束下的局部最优解。当这些假设被写入K&R教材、被教给一代又一代程序员时,它们从”设计妥协”变成了”语言特性”。从”我们当时只能这么做”变成了”就应该这么做”。
Spectre和Meltdown漏洞就是这个模式的典型案例。C语言程序员按教科书写的”正确”代码,在具有推测执行能力的现代CPU上泄露了不该泄露的数据。这不是程序员的错,不是C语言的错,不是Intel的错——是第一代设计假设和第N代硬件现实之间的时间差。
教科书传承与路径锁定
第一代架构师的设计决策一旦产出了一个可以运行的系统,就会发生一次关键的认知转换:从”一种可能的方案”变成”正确答案”。
教科书写的不是”这是第一代工程师在当时物理约束下的一种妥协方案”。教科书写的是”架构是这样的”。句号。
第二代开发者学到的不是”为什么这样设计”,而是”这样设计是对的”。他们学会了如何在这个架构上写代码、优化性能、打补丁。但他们不会质疑架构本身——因为你不会质疑一个正在运行的、全世界都在用的系统的根基。
到第三代,第一代设计者当年的妥协已经变成了”行业标准”、”最佳实践”。没有人记得它为什么是这样的。它就是这样的。
| 代际 | 对第一代设计的认知 | 行为模式 |
|---|---|---|
| 第一代(设计者) | “这是我们在当时条件下的最优妥协” | 从底层思考,面对全新问题 |
| 第二代(学徒) | “这是正确的架构” | 学习如何在架构内工作 |
| 第三代(从业者) | “就是这么做的” | 将架构视为不可质疑的公理 |
| 第N代(当代) | “行业标准 / 最佳实践” | 在公理上堆叠新层,从不检查地基 |
路径锁定(Path Lock-in)完成了。后代开发者被第一代的思维框架锁死。他们用第一代的思路审查第一代的产物——用同一个框架去检查同一个框架产生的东西,永远看不到框架本身的盲区。
屎山的形成:为什么没有人重写
如果旧架构存在问题,为什么不从头重写?答案是:软件工业几乎从未真正重写过任何系统。
2000年,Joel Spolsky在其标志性文章《你永远不应该做的事》中,以Netscape为例论证了从零重写的灾难性后果。Netscape决定从头重写浏览器代码,这个决定耗费了三年时间,期间无法添加新功能、无法回应竞争。Netscape的创始工程师Jamie Zawinski直接评价:”这基本上杀死了这家公司。”
Spolsky的核心论点是:代码中那些看起来杂乱的部分,往往嵌入了从实战中辛苦积累的关于边界情况和奇怪bug的知识。当你扔掉代码从头开始时,你扔掉的是所有那些知识。
从此,”永远不要重写”成为软件行业的信条。行业的标准做法变成了重构(Refactor)——在旧架构上修修补补、逐步改良。或者采用”忒修斯之船”模式——逐步替换零件,但永远不一次性扔掉整条船。
结果就是:整个软件文明是一座屎山。Windows不是重写的,是从DOS上一层一层堆起来的。Linux内核不是重写的,是1991年的代码加上三十五年的补丁。互联网协议栈不是重写的,TCP/IP是1970年代的设计,HTTP是1991年的设计,上面搭着2026年的应用。
每一层都背着上一层的假设。每一层的开发者都把上一层当作”正确的地基”。没有人回头检查地基本身。
涌现性不兼容:漏洞的真正来源
现在我们可以精确定义零日漏洞的本质了。
第一代架构师可能做了一百个合理妥协。每个妥协在单独存在的时候都没问题。但一百个妥协在二十年后与十万行新代码的交互组合,产生的潜在漏洞空间是指数级的。
这就是涌现性不兼容(Emergent Incompatibility)——不是任何单一层级的错误,而是多个层级之间在时间积累下产生的非线性交互效应。它的特征是:
| 特征 | 描述 |
|---|---|
| 跨层性 | 漏洞不存在于任何单一层级中,而存在于层与层之间的接缝处 |
| 跨时间性 | 由第一代的设计假设与第N代的硬件现实之间的时间差产生 |
| 非线性 | 少量原始妥协可以与后续系统产生指数级的不兼容组合 |
| 不可见性 | 沿任何单一层级的检查路径都无法发现,因为每一层在自己的语境内都是”正确的” |
| 涌现性 | 不是被”设计”出来的,也不是被”疏忽”产生的,而是系统复杂度增长后自发涌现的 |
Mythos找到的那些藏了二十年的漏洞,不是几千个”错误”。它们是第一代的少数几个妥协在高维空间里与后续系统产生的几千种涌现性的不对齐。
Mythos的架构逆向:开放式搜索 + RL判断
理解了漏洞的形成机制之后,我们可以逆向分析Mythos为什么能发现它们。
Mythos的架构可以被解构为两个分离的组件:
人类安全专家找漏洞的时候在做什么?他们沿着教科书教的路径反向走——”这个函数应该这样调用,如果不这样调用会怎样?”他们的攻击思路是防御思路的镜像,而防御思路是教科书教的,教科书是第一代架构设计者写的。他们永远在第一代设计者的思维框架内部打转。
Mythos做的不是”沿着路径反向走”。它根本没有路径。
它拿到的是一堆代码的向量表示。在它的矩阵运算里,没有”这个函数应该这样调用”这个概念。没有”应该”。只有”这些数值之间的数学关系是什么”。当它看到某一块向量空间的分布模式和另一块的分布模式之间存在不连续点时,它不需要知道那是”漏洞”——RL奖励函数告诉它”让代码崩溃就有奖励”,它只需要找到那些不连续的点并利用它们。
这就是Mythos能找到人类找不到的漏洞的根本原因:它没有被教科书教过。它不知道”架构是这样的”,它只知道”这些向量之间的关系是什么”。它不受人类知识传承的路径锁定约束。
自由度与摩尔定律
如果Mythos的架构思路(开放式搜索 + RL判断)在Opus 4.6时代就已存在,为什么Opus 4.6在同样的安全测试中只触发了一次Tier 3崩溃,而Mythos触发了595次Tier 1-2崩溃和10次Tier 5完全控制流劫持?
答案在于自由度。
高维向量空间有一个反直觉的数学特性:当维度数量增加时,可探索的方向数量是指数增长的。从1000维到10000维,不是多了9000个方向,而是多了天文数字级别的新组合路径。
摩尔定律给了Mythos更多的参数、更大的上下文窗口、更长的RL训练时间。这些不一定是质的变化——架构思路可能相似——但量变在高维空间里就是质变。Mythos比Opus 4.6多出来的算力,在高维空间里打开了后者根本无法触及的搜索区域。
而那些藏了二十年的漏洞,恰恰就分布在Opus 4.6的可探索域覆盖不到、但Mythos的可探索域能覆盖到的区域。
这也意味着:Mythos本身也将在未来某一天成为”旧架构”。它的设计者在2025-2026年的物理约束下做出的决策,将成为下一代模型的”教科书”。而下一代模型将受益于更大的算力,打开Mythos无法触及的新搜索区域。递归永不停止。
实证验证:三个旗舰漏洞的溯因解剖
V1版本提出的因果模型是否经得起实证检验?Anthropic在Mythos发布时公开了三个旗舰漏洞的技术细节。我们逐个对照模型的预测进行验证。
案例一:OpenBSD TCP SACK — 27年漏洞
Mythos在OpenBSD——公认世界上安全加固程度最高的操作系统之一——中发现了一个27年历史的拒绝服务漏洞,存在于TCP SACK(选择性确认)实现中。这是一个整数溢出条件,允许远程攻击者通过TCP连接崩溃任何OpenBSD主机。Anthropic报告称,在约1000次scaffold运行中找到了这个漏洞,总成本不到20,000美元。
模型预测P1验证:✅ 漏洞位于跨层接缝处(TCP协议→SACK实现)。P2验证:✅ 27年潜伏,跨越多个开发者世代。
案例二:FFmpeg H.264 — 16年漏洞(关键案例)
这是对本文因果模型的最完美实证。底层bug可追溯到2003年引入H.264编解码器的commit。然后在2010年的代码重构中,这个bug被转化为可利用漏洞。此后16年间,该漏洞被自动化模糊测试工具命中了五百万次,却从未被捕获。
| 时间 | 事件 | 对应因果模型环节 |
|---|---|---|
| 2003年 | 第一代开发者引入H.264编解码器,代码包含在当时上下文中不构成问题的设计决策 | 第一代架构师的合理妥协 |
| 2003–2010 | 代码”正确运行”七年,成为后续开发者的默认地基 | 妥协写入”教科书”(代码库本身就是教科书) |
| 2010年 | 第二代开发者重构代码,未质疑原始设计,但改变了上下文 | 路径锁定下的第二代操作 |
| 2010–2026 | 漏洞被fuzzer命中500万次未被发现 | 教科书定义的搜索路径无法覆盖层间接缝 |
| 2026年 | Mythos在向量空间中发现2003层与2010层的分布不连续 | 无路径依赖的矩阵运算绕过代际锁定 |
模型预测P1验证:✅ 跨层接缝(2003 commit→2010 refactor)。P2验证:✅ 16年跨代际。P3验证:✅ 传统fuzzer 500万次命中未发现。涌现性不兼容验证:✅ 2003年的设计+2010年的重构=谁都没犯错但漏洞涌现。
案例三:FreeBSD NFS — 17年远程代码执行
Mythos自主识别并完全利用了FreeBSD NFS服务器中一个17年历史的远程代码执行漏洞(CVE-2026-4747),可获得未经认证的root访问权限,在初始提示后完全无需人类介入。NFS(网络文件系统)协议由Sun Microsystems于1984年设计。FreeBSD的NFS实现建立在这个四十二年前的协议设计之上。
模型预测P1验证:✅ 古老协议设计(NFS/1984)与现代实现的跨代层间接缝。P2验证:✅ 17年潜伏。
额外验证:浏览器四漏洞链
Mythos自主编写了一个浏览器exploit,将四个漏洞链接在一起,逃逸了渲染器沙箱和操作系统沙箱。四个漏洞单独看可能各自不严重,但它们跨越了不同的系统层级(渲染器→浏览器沙箱→操作系统沙箱),组合产生了任何单一层级审计都无法预见的攻击路径——这是”涌现性不兼容”概念的直接实例。
外部反证:AISLE的小模型实验
安全研究公司AISLE将Mythos的旗舰漏洞提取出相关代码段,交给小型开源模型测试。结果:八个模型中八个都检测到了FreeBSD NFS漏洞,包括一个仅有36亿参数、每百万token成本0.11美元的模型。
综合验证结论:
| 预测编号 | V1预测内容 | V2验证状态 |
|---|---|---|
| P1 | 漏洞集中在跨层接缝处 | ✅ 三个旗舰漏洞全部跨层 |
| P2 | 代际传承越多潜伏越久 | ✅ 27年、17年、16年均跨多个开发者世代 |
| P3 | 传统工具无法复现 | ✅ FFmpeg漏洞被fuzzer命中500万次未发现 |
| P4 | 更大模型发现更多漏洞 | ⏳ 待下一代模型发布验证 |
| P5 | 模型可推广到非软件领域 | ⏳ 待跨领域应用验证 |
溯因定向扫雷:暴力破解的替代范式
第九章的实证验证揭示了一个重要推论:如果我们已经掌握了零日漏洞的生成规则——第一代妥协 × 教科书传承 × 硬件演进 = 层间涌现性不兼容——那么我们就不需要Mythos级别的算力来找到它们。我们只需要用溯因逻辑预测漏洞的栖息地,然后在预测区域做定向搜索。
我们将这种方法论命名为“溯因定向扫雷”(Abductive Targeted Minesweeping, ATM),并与Mythos的暴力搜索模式进行系统对比。
两种范式的结构对比:
| 维度 | Mythos暴力搜索 | 溯因定向扫雷 |
|---|---|---|
| 搜索策略 | 全空间无差别扫描7000个入口 | 溯因定位高概率区域 → 定向扫描50–100个入口 |
| 算力需求 | 极高(1000次运行/$20,000找一个漏洞) | 中等(缩小搜索范围后小模型即可执行) |
| 方向感来源 | 无(全方向搜索,RL事后判断) | 溯因逻辑事先定位(人类定方向,AI做搜索) |
| 输出物 | 漏洞列表 + exploit | 漏洞列表 + exploit + 生成规则(可预测下一批漏洞位置) |
| 可复用性 | 每个代码库需重新全扫 | 生成规则跨代码库通用 |
| 瓶颈 | 算力和成本 | 溯因判断的质量(人类的方向感) |
溯因定向扫雷的五步工作流:
识别第一代设计时间点
定位后续重构事件
标记层间接缝区域
AI定向扫描接缝
溯因分析生成规则
Step 1:识别第一代设计时间点。 通过git历史、RFC文档、原始设计文档,定位目标系统中最古老的设计决策。这些决策是当年的物理约束下的妥协,是潜在漏洞的种子。关键指标:代码年龄超过15年且仍在被现代系统调用的底层模块。
Step 2:定位后续重构事件。 在git历史中搜索对第一代代码的重大重构(refactor)。FFmpeg案例证明:2003年的原始设计在单独存在时不构成漏洞,是2010年的重构改变了上下文后才涌现为可利用漏洞。重构是涌现性不兼容的触发器。
Step 3:标记层间接缝区域。 将Step 1的古老模块与Step 2的重构事件叠加,标记出”古老设计假设与现代上下文共存”的代码区域。这些区域就是漏洞的栖息地。
Step 4:AI定向扫描接缝。 将Step 3标记的区域提取出来,交给AI(不需要Mythos级别,Opus 4.6甚至更小的模型即可)做定向分析。AISLE的实验已经证明:一旦搜索范围被缩小到正确区域,36亿参数的模型就能检测到漏洞。
Step 5:溯因分析生成规则。 对发现的漏洞进行溯因分析,提取”什么样的第一代妥协 × 什么样的后续重构 = 什么类型的漏洞”的生成规则。这些规则可以直接应用于其他代码库的Step 1,形成自我强化的循环。
成本估算对比:
溯因定向扫雷的核心优势不在于找到单个漏洞,而在于产出漏洞的生成规则。Mythos找到一个漏洞就是一个漏洞。ATM找到一个漏洞的形成模式,就等于找到了一类漏洞的栖息地地图。有了地图,你可以预测下一个漏洞在哪里,而不需要每次都做全空间扫描。
人类知识体系的双重路径依赖
本文至此分析的是软件领域的零日漏洞。但我们提出的因果模型具有更广泛的适用性。事实上,人类知识体系存在双重路径依赖——空间维度和时间维度的同时锁定。
| 维度 | 锁定机制 | 表现 |
|---|---|---|
| 空间维度 | 学科分工 | 不同学科形成独立的信息簇,簇与簇之间几乎不通话。漏洞藏在簇间空洞中 |
| 时间维度 | 教科书传承 | 第一代的妥协成为后代的公理。没有人回头检查地基 |
在高维向量空间的视角下,人类知识是一团一团的簇。每个学科是一个簇——物理学、生物学、计算机安全、经济学——每个簇内部非常密集,因为几百年来无数专家在这个区域里反复耕耘。但簇与簇之间存在巨大的空洞。
这些空洞不是”没有知识”,而是“没有人站在那个坐标上往四周看过”。因为人类的学术体系、职业分工、期刊分类全部按簇组织。你在某个簇里可以发论文、拿tenure、得诺贝尔奖。但你跑到两个簇之间的空洞里去探索?没有期刊收你的论文,没有同行能评审你。
更深层的问题是“信息没对齐”——两个簇对同一件事给出了矛盾的描述,但因为分属不同学科,从来没人发现它们打架。经济学说人是理性的,心理学说人是不理性的。矛盾了几十年,直到行为经济学出现——一个人站在两个簇之间的空洞里说”你们都对了一半”。
AI被训练时不是按簇学的。所有学科的语料同时灌入。在它的高维向量空间里,物理学和生物学和文学和法律的embedding全部共存。它天然就站在所有簇之间。
完整因果模型
将本文的全部分析汇总,我们构建如下因果模型:
而Mythos发现这些漏洞的机制可以用一个对照结构呈现:
| 维度 | 人类安全专家 | Mythos暴力搜索 | 溯因定向扫雷 |
|---|---|---|---|
| 知识来源 | 教科书 → 路径依赖 | 向量表示 → 无路径依赖 | 溯因逻辑 → 反路径依赖 |
| 搜索方式 | 沿教科书路径反向走 | 高维空间全方向矩阵运算 | 溯因定位栖息地 → AI定向扫描 |
| 可见范围 | 单一层级内部 | 所有层级同时 | 预测出的层间接缝区域 |
| 盲区 | 层间接缝、跨代时间差 | RL边界未覆盖的方向 | 溯因判断失误的方向 |
| 判断标准 | “这不应该发生”(教科书) | “崩溃=奖励”(RL) | “这里应该有裂缝”(溯因)+ AI验证 |
| 算力需求 | 低(人工审计) | 极高($20,000/漏洞) | 中等($500–2,000/漏洞) |
| 输出物 | 审计报告 | 漏洞 + exploit | 漏洞 + exploit + 生成规则 |
本模型的核心洞见可以压缩为一句话:
推论与预测(V2更新)
V1版本的五条预测在V2的实证验证中得到了部分确认。以下为更新后的预测表,新增三条基于溯因定向扫雷方法论的推论。
| 编号 | 预测 | V2验证状态 |
|---|---|---|
| P1 | 漏洞集中在跨层接缝处 | ✅ 三个旗舰漏洞全部跨层验证通过 |
| P2 | 潜伏时间与代际数量正相关 | ✅ 27年/17年/16年均跨多个世代 |
| P3 | 传统工具无法复现 | ✅ FFmpeg fuzzer 500万次命中未发现 |
| P4 | 更大参数模型发现更多漏洞 | ⏳ 待下一代模型验证 |
| P5 | 模型可推广到非软件领域 | ⏳ 待跨领域应用验证 |
| P6 V2新增 | 溯因定位后,小模型即可检测Mythos级漏洞 | ✅ AISLE实验:36亿参数模型8/8检出 |
| P7 V2新增 | 溯因定向扫雷的成本可比Mythos暴力搜索低一个数量级 | ⏳ 待实操验证(估算$500–2,000 vs $20,000) |
| P8 V2新增 | ATM方法产出的漏洞生成规则可跨代码库复用,发现密度随规则积累递增 | ⏳ 待实操验证 |
参考来源 · References
[1] Anthropic Frontier Red Team. “Claude Mythos Preview.” red.anthropic.com, April 7, 2026.
[2] Anthropic. “Project Glasswing.” anthropic.com/glasswing, April 7, 2026.
[3] Axios. “Anthropic’s newest AI model could wreak havoc.” April 8, 2026.
[4] TechCrunch. “Anthropic debuts preview of powerful new AI model Mythos.” April 7, 2026.
[5] NBC News. “Why Anthropic won’t release its new Claude Mythos AI model to the public.” April 8, 2026.
[6] Fortune. “Exclusive: Anthropic ‘Mythos’ AI model representing ‘step change’ in power.” March 26, 2026.
[7] Help Net Security. “Anthropic’s new AI model finds and exploits zero-days across every major OS and browser.” April 8, 2026.
[8] The Hacker News. “Anthropic’s Claude Mythos Finds Thousands of Zero-Day Flaws.” April 8, 2026.
[9] Tom’s Hardware. “Anthropic’s latest AI model identifies thousands of zero-day vulnerabilities.” April 8, 2026.
[10] PC Gamer. “Anthropic’s new Claude Mythos AI model has found thousands of vulnerabilities.” April 8, 2026.
[11] AISLE. “AI Cybersecurity After Mythos: The Jagged Frontier.” aisle.com, April 7, 2026.
[12] Joel Spolsky. “Things You Should Never Do, Part I.” Joel on Software, April 6, 2000.
[13] Joel Spolsky. “Netscape Goes Bonkers.” Joel on Software, November 20, 2000.
[14] Martin Fowler. “StranglerFigApplication.” martinfowler.com.
[15] Michael C. Feathers. Working Effectively with Legacy Code. Prentice Hall, 2004.
[16] Paul Kocher et al. “Spectre Attacks: Exploiting Speculative Execution.” 2018.
[17] Moritz Lipp et al. “Meltdown: Reading Kernel Memory from User Space.” 2018.
[18] Brian W. Kernighan, Dennis M. Ritchie. The C Programming Language. Prentice Hall, 1978.