文 观察者网 吕栋
一场关于AI漏洞挖掘的争论近日在海外社媒上悄然发酵,主角是“Mythos vs 360”。
此前,美国大模型厂商Anthropic高调发布了号称在漏洞发现上“危险地强大”的新模型Mythos,并联合约40个关键基础设施厂商搞了一个“提前修补联盟”,营销声势浩大。
然而几乎在同一时间,中国企业360悄悄发布了针对OpenClaw生态的自动化安全审计报告,一口气挖出23个已确认漏洞,包含2个严重级别,并已全部归档至CNNVD、CNVD国家漏洞库。
两家企业的进展,迅速引发了一批技术达人和科技从业者的转发讨论,彭博社、华尔街内参、美国电讯等海外媒体也集体关注。
评论区网友也纷纷加入讨论:“一边是新闻稿,一边是真凭实据,你选谁?”另一条技术大V则直言:“最终胜出的不会是声音最大的AI,而是那支能把威胁专家经验,转化为主动审计智能体的团队。”
或许,评论区的胜负并不重要。
真正值得我们关注的是,这场讨论本身揭示了一个更深层的事实——AI漏洞挖掘,正在从实验室命题升级为国家级的战略能力竞赛。当硅谷巨头试图用通用大模型重新定义网络安全的规则时,以360为代表的中国企业没有缺席,而且正沿着一条截然不同、但同样务实的工程化路线,构建自己的“赛博防御底牌”。
AI安全竞赛,中国无法承受缺席的代价
厘清对手的实力,需要抛开情绪,正视现实。
近期,Anthropic 发布“玻璃翼计划”首月战报,展示这一计划并非虚张声势的营销表演。
根据官方信息,Mythos Preview已被集成到包括AWS、苹果、思科、CrowdStrike、谷歌、JPMorgan Chase、微软、英伟达、Palo Alto Networks等在内的全球顶级科技与金融公司的安全体系中,并扩展至50余家关键软件基础设施维护组织。
Anthropic声称,Mythos已经发现了上万个高严重性漏洞,覆盖主流操作系统、浏览器及重要软件,并将重点用于本地漏洞检测、二进制黑盒测试、端点安全加固、系统渗透测试等防御性任务。
这意味着什么?Mythos不是一个停留在发布会PPT上的“酷模型”,而是一类正在真实环境中运行、正在发现真实漏洞、正在修补真实系统的新型能力。它不是普通的AI工具,而是一类可能重塑漏洞发现效率、压缩补丁响应窗口、改变网络攻防节奏的战略级能力。
华尔街内参在一篇深度报道中给出了一个意味深长的判断:“在政府已经将其视为AI时代国家安全基础的领域,前沿架构的选择,塑造的不只是产品,而是网络空间博弈的规则本身。”部分海外专家甚至直接将其称为“AI时代的战略武器”。
我们可以将这个判断翻译成更直白的语言:当一个国家的关键基础设施开始依赖某个外部AI来发现和修补漏洞时,这个外部AI的供应国就掌握了某种意义上的“安全定义权”和“响应主动权”,甚至形成某种程度上的“单向透明”。
漏洞从出现到被利用的窗口期,可能被AI压缩到人类团队难以企及的程度。如果你的对手拥有这种压缩能力而你没有,那么在未来网络空间的对抗中,你将始终处于“看不见、来不及”的被动局面。这不是危言耸听,而是一个正在发生的现实。美国大模型公司正在把AI能力真正推向漏洞发现、代码审计和关键基础设施安全防护的深水区。
中国不能缺席这场竞赛,也无法承受缺席的代价。
中美正定义两种未来赛博防线
海外技术圈对Mythos并非一边倒的追捧。恰恰相反,关于其“夸大营销”的争议,为我们理解中美两条技术路径的本质差异提供了绝佳的切入点。
就在Mythos高调发布后不久,有技术博主让它挑战了一个极为经典和成熟的开源项目——curl。结果令人大跌眼镜:Mythos在curl项目中只找到了5个问题,其中真正算得上漏洞的只有1个低危问题。这一结果在X平台上引发了一波“群嘲”,不少开发者质疑其“危险地强大”的宣传与实际表现之间的落差。
随后,curl项目创始人Daniel Stenberg公开质疑Mythos的挖洞成果主要为营销,而非重大的AI安全突破。这一来自项目维护者的直接评价,进一步放大了外界对Mythos真实能力的审视。
正是在这种“营销vs实绩”的讨论背景下,X平台技术大V Charly Wargnier等人的分析开始被广泛引用。他们指出,AI安全行业正在分裂成两个截然不同的赛道。
一个以Anthropic为代表:依赖通用大模型能力向安全场景的外溢。这条路的优势在于泛化能力强,一个模型可以应对多种编程语言和框架;但短板也同样明显,通用模型对真实的、复杂的、动态的攻防场景理解不深。Mythos在curl上的表现,某种程度上暴露了这条路径在处理“已知模式、静态代码”之外的复杂场景时的局限。它更像是“AI辅助安全”的延续,而非革命。
赛道二以360为代表:更突出安全产业长期积累向智能体体系的工程化转化:把漏洞样本、攻防经验、专家知识、自动化验证流程等注入多个垂直智能体,让AI不只是“读代码”,而是沿着真实攻击链路理解系统、验证风险、形成闭环。这里尤其突出的是对自主智能体的实时运行时审计。测试的不是静态代码,而是“会读取网页数据、触发真实操作的自主Agent”。
Charly Wargnier强调,“这是完全不同量级的难度”。360将老牌安全公司二十年积累的一线攻防经验“蒸馏”进智能体,这不是通用模型的外溢,而是安全专家经验的AI化。
两条路线的分野,被一位海外博主Shruti进一步点明:“我们一直在看错误的AI故事。当时间线还在争论Mythos是真本事还是营销噱头时,360已经悄悄把一个自主漏洞挖掘智能体带进了OpenClaw生态,并带着23个确认漏洞走了出来。”
她进一步指出,AI智能体是一个“边界模糊”的攻击目标,提示词同时是指令,静态分析几乎无从下手,认证、网络、执行、控制任何一环被攻破都会级联到其他层级。而360的23个发现恰好覆盖了全部四层。她得出的结论是:“有趣的问题已经不再是‘AI对AI的安全攻防是否真实’,而是谁掌握了足够多的攻击者视角数据,能让这件事达到生产级。”
长期跟踪智能体架构与安全问题的技术博主Rohan Paul给出了一个更尖锐的判断:“下一场安全竞赛的赢家,不在于哪个模型听起来更吓人,而是真正搞清楚agent手里的权限如何把普通漏洞放大成实际攻击的那套系统。”他进一步指出,下一次严重的AI安全事故,很可能不是某一行糟糕的代码,而是“一个看起来一切正常的智能体,带着过大的权限做了错事”——这恰恰是传统代码扫描看不到、却被360的运行时审计路径正面捕获的盲区。
海外主流科技媒体也开始跟进。华尔街内参深度报道中明确写道:360的漏洞挖掘系统累计已在Windows、Office、OpenClaw、Android等领域发现近1000个漏洞,包括一个潜伏近5年的Windows内核提权漏洞、一个潜伏8年的Office远程代码执行严重漏洞(获得微软MSRC官方致谢),并在新加坡DEFCON大会上展示过相关研究。
这意味着,360的路线不仅在“智能体安全”这一前沿命题上具有前瞻性,在传统软件漏洞挖掘上同样有实绩支撑。某种意义上,这不是中国企业的技术“追赶”,而是基于中国安全产业特点的另一种选择,一条从真实攻防场景中长出来的路。
竞赛远未结束,但中国已经有了底牌
当我们把视线从“Mythos vs 360”的产品层面抬高,会发现一个更本质的问题:AI安全最终的较量,不是单一模型的能力竞赛,而是漏洞数据规模、攻防经验转化效率、工程化落地能力、以及国际协作与规则话语权的综合体系竞争。
海外网友的一条评论一针见血:“你会突然意识到,安全研究的命题已经从‘AI能不能找漏洞’变成了‘哪支团队拥有最好的攻击数据来训练AI’。”
这句话道破了“天机”,通用大模型固然强大,但安全领域的特殊性在于,真正有价值的不是模型参数的大小,而是训练数据的质量和针对性。谁拥有最多的真实漏洞样本、最丰富的攻防对抗经验、最深入的攻击者视角数据,谁才能训练出最能打的安全AI。
从这个角度看,360的路线有其不可替代的优势。二十年的安全攻防实战经验积累、数以亿计的用户终端覆盖、持续的国家级漏洞库建设,这些不是任何一家大模型公司能在短时间内复制的。
正如Shruti的那句被反复引用的判断:“最终胜出的不会是声音最大的AI,而是那支能把威胁专家经验,转化为主动审计智能体的团队。”
但需要强调的是,中国不是要“赢”Anthropic,而是要在AI安全这件事上“不掉队、有底牌、能贡献”。360漏洞挖掘智能体的意义,从来不是用来证明“Mythos不行”,而是说明中国并没有缺席这场全球意义上的AI安全竞赛。
与Anthropic从通用大模型向安全场景外溢不同,360代表的是从老牌安全公司的真实攻防经验、漏洞研究积累、专家知识库和多智能体协同体系中生长出来的中国路线。更重要的是,这条路线始终以防御为导向。360将挖掘出的OpenClaw漏洞通过国际惯例提交给原厂修复,并同步至中国国家漏洞库(国家信息安全漏洞库CNNVD/国家信息安全漏洞共享平台CNVD)。
这意味着,360代表的中国白帽力量,找漏洞不是为了“攻击”,而是为了“在黑客利用之前先把它补上”。这是对全球AI生态的公共安全贡献,也是负责任的大国安全厂商应有的姿态。
360创始人周鸿祎有一个判断:“未来人类AI出问题,一定是通用智能体出问题。”360提前布局智能体生态安全,是在对手尚未完全占领的“下一个战场”提前卡位。Mythos目前的公开成果集中在传统软件,而360已经把战线推到了智能体本身。这不是“我比你强”的宣示,而是“我在你够不到的地方先一步占位”的战略选择。
这场竞赛远未结束。Anthropic的“通用模型外溢”和360的“专家智能体集群”两条路径,正在并行塑造AI安全的未来。对于中国而言,真正的自信不在于宣称“已经领先”,而在于清醒地认识到“我们无法承受输掉的代价”,并且已经在这条必须取胜的赛道上,拥有了一支不可忽视、自成体系、且已拿出实战成绩的“国家队”。
未来赛博空间的规则,将由能够持续在真实系统中发现、验证和修补漏洞的一方参与书写。而在这一点上,海外观察者们似乎正把目光投向同一个方向。