过去一周业界对 Anthropic 公司 Glasswing 项目反应两极分化一方担忧 AI 能自主识别并利用漏洞另一方则认为并无新意。云安全联盟CSA最新简报给出更务实视角。该报告由 Knostic 公司 CEO 兼 CSA 驻场 AI CISO 盖迪·埃夫龙、SANS 研究所首席 AI 官罗伯·T·李及 CSA 首席分析师里奇·莫格尔牵头完成汇聚前 CISA 局长珍·伊斯特利、布鲁斯·施奈尔、前国家网络总监克里斯·英格利斯、前谷歌 CISO 菲尔·维纳布尔斯等数十位行业领袖见解。Cloud Security Alliance Announces Launch of CCSK v4埃夫龙强调“网络安全本质上是共同体关键时刻需消除噪音、传播有效信息。”报告结论明确Glasswing 并非孤例而是 AI 规模化能力的早期范例CISO 应立即准备。“短期内安全团队将疲于应对补丁部署、AI 发现的漏洞、利用程序及自主攻击。Glasswing 引发的漏洞披露风暴只是第一波巨浪。”速度决定变革AI 驱动的漏洞发现早已存在但速度已发生质变。过去需数周或数月的漏洞发现、利用构建与攻击链组装如今仅需数小时即可完成。Frontier AIs Impact on the Cybersecurity Landscape报告指出Anthropic 的 Claude Mythos 预览版标志着能力跃升它能自主发现主流操作系统和浏览器的数千关键漏洞无需人工指导即可生成有效利用程序并实现自主攻击编排速度与规模远超以往。这种加速加剧了攻防不对称性——防御方必须永远正确攻击方只需成功一次。报告强调“从漏洞发现到武器化的时间窗口已缩短至小时级。当前补丁周期、响应流程和风险指标体系均未针对这种环境设计。构建‘抗 Mythos’安全体系不是应对单一模型而是要永久缩短漏洞发现与响应速度的差距。”Claude Mythos Found 27-Year-Old Bugs. Your Unpatchable Devices Are Exposed.Claude Mythos 预览版能力进阶英国 AI 安全研究所AISI独立评估显示在模拟 32 步企业网络攻击从初始侦察到完全接管的测试中Mythos 预览版表现优于其他 AI 系统人类完成相同攻击平均需要 20 小时。Governments trailblazing Institute for AI Safety to open doors in San Francisco - GOV.UKAISI 测试还证实Mythos 预览版在获得初始访问后能自主攻击防护薄弱的中小企业系统。“测试表明更多具备此类能力的模型将会出现。”CISO 应对策略AISI 建议企业强化基础安全措施包括定期更新、严格访问控制、安全配置和完整日志记录。“未来前沿模型能力将持续增强当前对网络防御的投资至关重要。AI 网络安全能力具有双重用途既能带来挑战也能推动防御能力突破性提升。”Transcript: House Hearing on DHS and CISA Role in Securing AI | TechPolicy.PressCSA 报告提出三项预测运营层面早期接入计划的约 40 家供应商将密集发布补丁可能重现近期需两周内应对多起供应链事件的情况。风险管理业务风险形态变化要求加强与利益相关方的风险规划协商CISO 风险管理空间将受挤压影响报告和预测机制。战略层面需开展长期差距分析选择性重构关键技术功能包括加速技术落地和部署 AI 驱动安全控制的治理流程。报告将 Mythos 上升至董事会层级议题帮助 CISO 争取资源投入。正如 CSA 报告总结“基于 AI 的攻击正在重构攻防范式这种趋势不可逆转。漏洞利用的成本门槛持续降低披露到武器化的时间趋近于零曾经需要国家资源的攻击能力正变得触手可及。”