新智元报谈

【新智元导读】本年4-5月，AI迎来「水门事件级」窗口：攻方落地、守方济急、杂音失控、料理失灵同期暴发。Anthropic主动封印Claude Mythos，只因它无边到必须送进末日火山。

全球最老练的开源安全防地，要被AI报告活活淹死了！

莫得黑客攻破，莫得零日过错炸。

AI过错猎手们用归拢把刀、砍归拢棵树。

他们往归拢个邮箱里塞了成百上千封一模一样的报告，直到这套运转了二十多年的安全机制，透彻瘫痪。

5月17日，在每周内核景况更新里，Linus Torvalds的一句话让统共开源社区细念念极恐：安全邮件列表「简直完全无法料理」。

这不是牢骚。这是Linux内核之父亲手签发的一张病危奉告书。

全球最顶级的开源安全经由，扛过了二十年的黑客挫折、国度级APT浸透、无数次零日风暴。现时，被AI的「好心」压垮了。

更可怕的是，Linus点名了罪魁罪魁：不是AI器具本人，而是那些用AI扫一遍代码、发完报告回身就走的东谈主。

这种作为号称「毫无道理的难堪和假装责任。」

上图由AI生成

AI能以百倍速率发现过错，但设立仍然需要东谈主类工程师坐下来读几千行代码、清醒模块依赖、写出不引入新bug的补丁。

此时，发现bug和设立之间的边界，正在被AI撕成山地。

AI太强不是问题，东谈主类谄谀系统第一次被AI的产出速率正面击穿才是问题。

安全列表变垃圾场

法子路Linus为什么动怒，先法子路这个安全邮件列表是什么。

Linux内核有一套高明安全报告经由。

潜在过错被发现后，报告要发到专用邮件列表，中枢爱戴者评估、设立、发补丁，走完经由后才公开。

这套机制运行了二十多年，是全球开源安全料理的标杆。

然后，AI来了。

Syzbot这类暧昧测试器具早就存在，但近两年LLM援手过错检测的才调爆发式增长。

器具变强了，门槛变低了，越来越多的猜测者——其中不少是安全赏金猎手——启动用AI批量扫描内核代码。

问题是，众人用的器具大同小异，扫出来的过错也大同小异。

归拢个bug，被不同东谈主用不同AI器具发现，然后离别提交到安全邮件列表。爱戴者开放邮箱，十封报告说的是归拢件事。再开放，又是十封。

更古怪的是，这些AI发现的bug绝大多数根底不是什么玄妙信息。

它们在公开的代码里，用公开的器具就能找到，内容上不需要走高明安全经由。但报告者无论这些，绝对往安全列表塞。

Linus的原话：众人只顾着转发「已设立」或指向公开商量，制造「完全无道理的瞎折腾」（ entirely pointless churn）。

高明安全经由的筹算初志，是处理的确明锐的零日过错。

现时，它被AI批量产出的低质料报告淹了。

Linux内核的爱戴者的技能被大量破钞在筛选重迭项上，的确危境的过错反而可能被埋在垃圾里。

AI发现的bug用高明经由处理，后果高明经由成了垃圾桶。

皆是AI惹的祸?

在夙昔，江南体育(JNsports)发现一个Linux内核过错就足以封神。

你需要深厚的底层功底、一夜的逻辑复现和近乎直观的知悉。

但现时，AI暧昧了这种界限。

所谓的「过客式报告」（Drive-by reporting），成为一种新的电子泔水冲击信息安全。

像Linus这么的顶级爱戴者，必须动用东谈主类最不菲的贯通资源，去评释一份 AI 生成的垃圾报告如实是垃圾。

零本钱的发现与高本钱的审计，这种「信息不合称」正在制造恐怖的「贯通DDoS挫折」。

当AI将发现Bug的边缘本钱降至零时，淌若你莫得在AI的基础上加多任何「东谈主类增量」，你制造的就不是孝敬，而是熵增。

AI并莫得让安全变得更简便，它仅仅让「制造杂音」变得不再有门槛。

需要明确的是，Linus Torvalds本东谈主并不反对使用AI，直言「粗陋使用它们，但要用得有收效，能带来更好的体验。」

把夙昔 18 个月放在一条技能线上，会看到一个明确的相变：

本年4-5月是AI信息安全的「水门事件级」窗口。

攻方落地、守方济急、杂音失控、料理失灵，四件事在 30 天内同期发生。

Anthropic的Claude Mythos简直能黑进宇宙上简直任何软件。

Anthropic决定毁灭这种权益，启动Project Glasswing。他们想把那只魔戒送到末日火山。

这是AI历史上第一次因为「攻防失衡」，主动扬弃发布。

这绝非耸东谈主听闻。

奇点将至，AI听说或成真

刚刚，Cloudflare首席信息安全官Grant Bourzikas坦承，Mythos非同凡响！

他公布了Anthropic未发布的 Mythos对50 多个自有分娩仓库的测试后果。

据他所述，Mythos过于无边，在向公众发布前必须「加多疏淡的安全珍惜步伐」。

事实评释，该模子大约将多个低严重性过错串联成具有可运行见地考证（PoC）的高危过错运用，而此前的前沿模子最多只会停步于「酷好酷好的过错，但尚不了了是否可被运用」。

在分类排查阶段，这意味着更少的牵丝攀藤的发现后果，以及花更少技能追问「这到底是不是真实？」。

附带PoC的发现后果，等于不错立即接受作为的发现后果。

在安全方面， Cloudflare也明确表态。

Mythos预览版，并未包含Opus 4.7或GPT-5.5等通用模子所具备的安全珍惜步伐。

该模子如实存在原生拒却机制。

Cloudflare所发现，这些自觉的拒却作为并不一致：相似的任务，若以不同神色表述或置于不同语境中，可能会产生千差万别的后果。

Cloudflare指出，这些机制的一致性不及以单独组成圆善的安全范畴，任何翌日面向公众发布的网罗前沿模子，皆必须在此基础之上疏淡配备安全珍惜步伐。

酷好酷好的是：Cloudflare首先并不在Project Glasswing的发布合作伙伴名单中，该名单包括Apple、AWS、Google、Microsoft、CrowdStrike等公司。他们是其后才受邀加入的。

现时，Mythos仍受质疑。

但Cloudflare直言，AI对安全的冲击毫不仅仅速率的问题：

的确的解法是架构重构。

与其压缩反馈技能，不如让过错即使存在也难以被运用。

这包括三层架构原则：

AI挫折才调的「广岛时刻」，此次来了。

参考资料：

https://x.com/Dinosn/status/2056175689808679106

https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made--security-mailing-list-almost-entirely-unmanageable/5241633

https://x.com/IntCyberDigest/status/2056452732987248948?s=20

https://blog.cloudflare.com/cyber-frontier-models/

裁剪：KingHZ David