9 家公司能修漏洞，剩下的人怎么办

4 月 7 日，Anthropic 做了一件 AI 圈从没做过的事：发布了自己最强的模型 Claude Mythos Preview，同时宣布——这个模型绝不对外开放。

不是开源，不是 API 调用，不是限量测试。是锁起来，只给 9 家公司用：AWS、苹果、谷歌、微软、英伟达、思科、CrowdStrike、博通、Palo Alto Networks。

理由说得过去：Mythos 能自动发现并利用主流软件的安全漏洞，比人类安全专家快得多、准得多。Anthropic 说已经用它找到了”数千个”关键漏洞，有些在代码里藏了好几年。这么危险的东西，当然不能随便放出去。

听起来负责任。但仔细一想，不对劲。

围墙花园里的盾牌

Anthropic 把防御能力锁进了 9 家公司的围墙。剩下的人呢？

全世界有几千万个软件项目。数不清的中小企业、政府机构、开源维护者，他们的代码里可能也藏着漏洞——但没有 Mythos 帮他们找。攻击者可不会等 Anthropic 的审批流程走完。

这就是闭源在安全领域制造的第一个不对称：防御能力集中化。少数人有盾牌，多数人没有。

你可能会说，等技术成熟了自然会开放。问题是安全不等人。从漏洞被发现到被利用，窗口期在缩短。2025 年安全研究员 Sean Heelan 用 OpenAI 的 o3 模型，在 1.2 万行 Linux 内核代码中独立发现了一个零日漏洞（CVE-2025-37899）——一个 use-after-free 类型的内存破坏问题。这是首次有公开报道显示大模型能独立发现内核级漏洞。Heelan 说：“如果一个安全问题可以被压缩到一万行代码以内，o3 很有可能能直接解决。”

那 Mythos 呢？它背后是一整套系统——算力堆满、安全数据喂饱、漏洞探查脚手架搭好、执行速度拉满、还有某种程度的自主性。这不是一个模型在干活，是一支 AI 军队。

现在这支军队只服务于 9 个雇主。

闭源的结构性死穴

但等一下。如果闭源只是”选择不分享”，那在安全领域应该没那么严重吧？苹果的 iOS 也是闭源，不也挺安全？

这次不一样。因为 AI 改变了游戏规则。

过去几年，公司们疯狂引入 AI 编码工具。Copilot、Cursor、Claude Code——写代码的速度确实快了。但有个问题没人认真对待：如果评估工程师的标准是”功能交付量”而非”代码质量”，AI 加速的不是好代码，是漏洞。

闭源代码库里，AI 帮工程师更快地写出更多可能有漏洞的代码。这些漏洞闷在只有一个组织能看见、能修的黑箱里。而外面呢？AI 正在让逆向工程变得前所未有的容易。过去要一个团队花几周才能分析的 stripped binary，现在 AI 辅助下可能几天就搞定。

漏洞产出在加速，修复能力被锁在单一组织内部，攻击者的发现能力在飙升。三条线同时往坏的方向跑。

HuggingFace 的文章里有个说法我觉得挺到位：安全已经变成四阶段的速度竞赛——检测、验证、协调、补丁传播。开源生态把这四个阶段分布到整个社区：有人写扫描器，有人做验证，有人协调披露，有人推补丁。闭源呢？四个阶段全压在一个供应商身上。单点故障。

这就是闭源在 AI 安全时代的结构性死穴：不是它”不想”分享，而是它在物理上就跑不赢分布式攻击。

锯齿状的能力

最有意思的一个概念叫”锯齿状前沿”（jagged frontier）。

AISLE 在 Mythos 发布同天发了一篇文章《AI Cybersecurity After Mythos》，核心论点是：Mythos 看起来吓人，但小型、廉价、甚至本地模型已经具备类似能力。安全能力不随模型大小平滑扩展——它锯齿状地跳跃。

这意味着什么？

一个 70 亿参数的模型，嵌入一个由安全专家精心设计的系统——带漏洞扫描、模糊测试、日志分析——可能比一个万亿参数的裸模型在安全任务上更高效。因为安全不是”更大的模型就能解决”的问题，它是领域知识 + 工具链 + 工作流的组合问题。

这恰恰是开源最擅长的。开源不需要一个公司同时搞定所有环节。安全专家写扫描器，社区做集成，企业贡献测试用例，维护者推补丁。每个人做好自己那块，拼起来就是完整的防御链。

Linux 内核安全团队就是这样运作的。OpenSSF 也是。HuggingFace 自己的模型和供应链安全团队也是。这些不是松散的志愿者组织，是纪律严明的专业社区，有流程有标准有 SLA。

Mythos 的真正启示不是”大模型好厉害”，而是：系统配方才是关键。而最好的系统配方，来自最开放的社区。

连闭源巨头都在输血

如果开放真的只是”理想主义”，那为什么 Anthropic 自己给 OpenSSF 投了钱？

2026 年，Linux 基金会拿到了 1250 万美元拨款。出资方：Anthropic、AWS、GitHub、Google、Google DeepMind、Microsoft、OpenAI。注意这个名单——全是闭源或半闭源的巨头。他们联合投资开源安全基础设施，由 Alpha-Omega 和 OpenSSF 管理。

为什么？因为他们的代码也跑在开源上。AWS 的底层是 Linux。微软的云跑着大量开源组件。Anthropic 自己的训练框架也依赖开源生态。攻击者不会因为你用了闭源服务就放过你的开源依赖。

但钱解决不了所有问题。Linux 内核维护者 Greg Kroah-Hartman 说得直接：“仅靠拨款无法解决 AI 工具当前对开源安全团队造成的问题。“他指的是一个正在发生的现象：AI 让漏洞发现变得太容易了，安全报告像洪水一样涌入，维护者根本处理不过来。

这不是钱能解决的。需要的是工具、流程、自动化，这些只能靠开放协作来共建。

Anthropic 首席信息安全官 Vitaly Gudanets 的表态很有意思：“改善安全成果的最佳方式是与维护者直接合作。“你看，连 Anthropic 自己都承认，光把模型锁起来不够，得把手伸进开源社区。

两条路，不是一个选择题

2025 年的世界人工智能大会上，HuggingFace CEO Clément Delangue 说了一句话：“一条路通往少数公司控制的世界，另一条路让更多人被赋能。”

当时很多人觉得这是开源布道者的场面话。但 Mythos 事件让这句话变得具体：当一个能自动发现漏洞的 AI 只给 9 家公司用，剩下的世界确实就是”被少数人控制”。

Sam Altman 后来承认 OpenAI”站在了历史的错误一边”。DeepSeek 在 2025 年 2 月搞了”开源周”，连续五天释出核心代码库。谷歌前 CEO 施密特在 WAIC 上指出：中国头部模型多为开源，美国几乎清一色闭源——这不是技术差异，是地缘和商业逻辑的差异。

数据也支持这个判断：HuggingFace 平台 2020 到 2025 年产生了 22 亿次模型下载，2025 年中国下载量占比 17.1%，超过美国的 15.8%。同期 63% 的新精调模型基于中国基础模型。开源生态的重心在转移。

但在网络安全这个具体领域，“开源还是闭源”根本不是选择题。攻击者在暗网论坛里共享工具、交换漏洞、协同行动。防御者如果各自抱着自己的闭源方案单打独斗，那就是在用分散对集中、用慢对快、用猜对看。

HuggingFace 的文章最后说了一句话，我觉得是整篇最实在的判断：未来 AI 网络安全的格局，由围绕模型的生态系统决定，而非模型本身。

开放提供的是可见性、控制权、社区和共享基础设施。在漏洞发现速度翻倍的时代，这些是活下来的条件，不是可选项。

---

你在工作中遇到过 AI 生成的安全报告洪水吗？或者用 AI 工具做过代码审计？欢迎聊聊你的体感。

原文参考

Hugging Face. AI and the Future of Cybersecurity: Why Openness Matters. HuggingFace Blog. https://huggingface.co/blog/cybersecurity-openness