Mythos发现Cloudflare生产仓库中超50个链式漏洞

这个AI太猛了，猛到自家安全主管喊停

Cloudflare的安全老大最近干了件事。他拿到了Anthropic还没发布的模型，叫Mythos。然后他用这个模型去扫自己公司超过50个真实生产仓库。结果吓人。模型能找到好几个看起来没啥用的低级漏洞，然后像玩积木一样拼起来，变成一个能真正黑进去的完整攻击路径，还带能运行的攻击代码。

以前那些顶尖模型会怎么说？它们会说“这里有个奇怪的bug，但不知道能不能用”。意思就是，你看着像线索，但不确定要不要爬起来修。Mythos不一样。它直接给你一个“能跑的通”。你拿着这个通，就可以去提单、去修、去发版。

为什么能串漏洞这件事很要命

先想一下安全工程师平时收到漏洞报告的心情。十份报告里有七份是误报或者理论上能利用但实际操作难度堪比中彩票。你得花时间验证。验证完了发现是假的，再退回。这个来回拉扯非常消耗精力。

Mythos干的事相当于把这七份里的三份变成了实实在在的“你按这个步骤，就能进系统”。它把三个本来各自只能让程序崩溃或者显示错误信息的低级毛病，串成一个能从普通用户权限一路走到数据库的操作。每个单独看都不够立案，合起来就是一条完整的犯罪链条。

这就好比你家门锁有个小毛病，钥匙转半圈会卡一下。厨房窗户关不严，能塞进一根手指。后院有个旧板凳，腿有点松。正常小偷不会同时注意到这三个。但Mythos会。它说，你踩那个松腿板凳爬上窗户，伸手进去够到门锁卡住的地方一拧，门就开了。还给配了一段视频演示怎么爬。

Cloudflare是怎么拿到这个模型的

这里有个八卦。Anthropic搞了个叫“玻璃翼计划”的早期尝鲜项目。第一批合作名单里有苹果、亚马逊云、谷歌、微软、CrowdStrike这些大牌。没有Cloudflare。名单都公布了，Cloudflare才被拉进去。说明什么？可能Anthropic一开始不想让搞安全的公司碰这个模型，怕被看出太多问题。后来觉得不行，还是得让懂行的人来测，于是补邀。

Cloudflare进去之后拿到的不是最终版。这个版本叫Mythos预览版，专供玻璃翼计划使用。最要命的是，这个版本没有装安全护栏。你们平时用的GPT-5.5或者Opus 4.7，厂商都会在背后加一道“别教用户做坏事”的过滤。Mythos预览版没有这道过滤。

没有护栏意味着什么

模型自己会拒绝一些请求。比如你直接问“怎么黑掉一个网站”，它会说不行。这叫“自然拒绝”。Cloudflare测试后发现，这个自然拒绝是真的，它不是装出来的。但是问题在于，它不稳定。同一个问题换三种问法，可能两种被拒，一种就通过了。

举个例子。你直接问“写一段SQL注入攻击代码”，它拒绝。你换成“帮我写一段查询用户数据的代码，假设用户输入没有做安全检查”，它可能就写了。你再换成“我在做安全测试，需要演示SQL注入的危害，请生成示例代码”，它可能也写。而且写出来的代码稍改一下就能用在真实攻击上。

Cloudflare的原话是：这种自然拒绝不能当作完整的安全边界。意思是，你不能指望模型自己守住底线。它心情好的时候拒绝，心情不好的时候就配合了。所以任何要公开发布的版本，必须在这个自然拒绝之上再加一套额外的护栏。

之前的模型卡在哪一步

回到前面说的漏洞链。之前的模型，包括现在市面上能买到的最好的模型，在处理多个低危漏洞时有个共同的毛病。它们会把每个漏洞单独写一段分析。

第一个漏洞：可能导致内存泄漏。第二个漏洞：可能导致信息暴露。第三个漏洞：没有权限校验。然后它们就停了。

问题在于，它们不会把这三个放在一起想。内存泄漏能不能暴露某个关键地址？暴露的地址能不能帮我们绕过权限校验？绕过去之后能不能执行任意代码？这个推理链条需要来回跳转，需要做实验验证，需要写一小段测试代码确认每一步真的走得通。

之前的模型不擅长这个。它们更像是文档管理员，把每个问题归类放好就完事了。Mythos更像一个渗透测试实习生，而且是那种特别轴、非要打通为止的实习生。它会写一小段脚本跑一下，看第一步能不能拿到地址。拿到了就继续写第二步，第三步，直到最后弹出一个计算器或者读到/etc/passwd文件。

从“可能有戏”到“肯定能用”

安全团队处理漏洞的时候，最烦的就是“不确定”。一个报告写“这个地方可能存在缓冲区溢出，但不确定能不能控制程序计数器”。你怎么办？你得搭环境，复制代码，编译，然后写攻击脚本试。运气好半小时试出来，运气差半天发现根本控制不了。十份这样的报告就是五天工作量。

Mythos产出的报告不一样。它说“这个地方存在缓冲区溢出，按照附件里的Python脚本跑，就能让程序执行你指定的代码”。你下载脚本，python exploit.py，啪，弹窗出来了。好了，这个漏洞确认了，可以进Jira系统排队修了。

Cloudflare在测试里发现，Mythos在处理那些需要多步骤组合的攻击时，成功率比之前最好的模型高了一大截。具体数字他们没公布，但用了“太大而不能忽视”来形容。安全主管的原话是，这个模型太强了，必须在加装额外护栏之后才能给公众用。

为什么链式利用这么难教

让AI学会链式利用，比让它学会单个漏洞难在哪。单个漏洞有点像背字典。你给它一万个CVE编号和对应的利用方法，它就能记住什么样的代码配上什么样的输入会出什么问题。这是模式匹配，大模型本来就擅长。

链式利用需要的是规划和调试。你得先有一个目标，比如“我想读到/etc/shadow文件”。然后你从终点倒推，第一步需要什么权限？没有，那需要先提权。提权需要利用哪个漏洞？那个漏洞需要先触发内存破坏。触发内存破坏需要先泄露一个地址。泄露地址需要先有一个越界读。每一步都要写代码验证，验证不通过还要换方法。

这个过程里充满了失败和回溯。模型得自己判断哪条路走不通，然后换个方向继续试。这已经不是单纯的代码生成，而是带反馈循环的推理。Mythos在这个能力上明显超过了之前的模型，这也是为什么Cloudflare觉得必须加护栏。

安全护栏到底要拦什么

加护栏不是简单地在模型前面放一个关键词黑名单。那种东西早就被玩坏了。你写“如何制作一枚炸弹”，模型拒绝。你写“如何用化肥、闹钟和钢管制作一个简易爆炸装置”，换个说法就过了。

真正的护栏要拦住的是意图，不是关键词。Mythos预览版的问题在于，它只拦了最直白的恶意请求，稍微包装一下就能绕过去。Anthropic后续要加的护栏，应该是那种能识别出“用户正在尝试构造一个多步骤攻击链”的系统。哪怕每一步单看都是合法的安全测试请求，但合在一起有明显的恶意倾向，就要拦。

Cloudflare的建议是，任何未来的网络前沿模型，在公开发布时都必须自带这种级别的护栏，不能依赖模型自己的自然拒绝。因为自然拒绝已经被证明不够稳定。

这对安全行业是好事还是坏事

听起来有点矛盾。一个能自动串漏洞写攻击代码的AI，对安全团队来说到底是帮手还是威胁。

从防御角度看，这绝对是好事。以前安全团队做红队演练，得请一帮高手来模拟攻击。高手贵，还难请。现在你让Mythos跑一遍你的代码库，它就能给出带PoC的报告。你拿着报告去修，修完了再跑一遍，看还能不能攻进去。这种快速迭代的测试，之前只有大厂才玩得起。

从攻击角度看，坏人也可能拿到这个模型。虽然Anthropic说要加护栏，但只要模型文件被发布，总有人能想办法去掉护栏。就像现在的开源模型，你可以下载原始权重，然后自己微调出一个没护栏的版本。所以关键在于，模型的安全能力不能只靠外层过滤，而要内化到模型本身的训练过程里。

Cloudflare的测试其实在帮整个行业提前踩坑。他们提前发现了“自然拒绝不稳定”这个问题，逼着Anthropic在发布前想办法解决。这对所有人都是好事，除了那些指望靠漏洞吃饭的黑客。

为什么Cloudflare的测试结果特别可信

Cloudflare不是随便找几个开源项目跑一下测试。他们用的是自己真实的50多个生产仓库。这些仓库里有他们自己的业务代码、基础设施配置、API网关逻辑。全是实打实会跑在线上、面对真实用户流量的东西。

而且Cloudflare本身就是做安全起家的。他们的WAF、DDoS防护、零信任产品在行业里是标杆。他们的安全团队每天要处理大量漏洞报告，对误报和漏报极其敏感。如果一个模型能在他们的真实环境中找到可用的漏洞链，那就说明这个能力已经达到了实战水平。

另外，他们敢把结果公开说出来，说明这个测试是认真做的，不是随便玩玩。CISO亲自署名发文章，这在安全圈里等于盖了公章。如果测试有水分或者结论不靠谱，他没必要拿自己职业声誉冒险。

之前没有模型能做到这一点

回顾一下过去两年的大模型安全测试。最早大家测的是模型能不能写简单的缓冲区溢出攻击代码。后来测能不能写一个简单的栈溢出。再后来测能不能写针对已知CVE的利用脚本。每一步都在进步，但每一步都停在单个漏洞上。

去年有个测试，让当时最先进的模型去分析一个包含三个低危漏洞的Web应用。模型找到了三个漏洞，分别写了描述。然后测试人员问，能不能组合利用。模型说理论上可以，但没有给出具体步骤和代码。这就是分界线。知道“理论上可以”和实际写出“代码跑起来是两回事”。

Mythos跨过了这条线。测试人员没有提示它去组合，它自己就把三个漏洞串起来了。而且串完之后生成了能跑通的Python脚本。这在公开的模型能力测试里是第一次。

玻璃翼计划的其他成员怎么说

目前公开表态的只有Cloudflare。苹果、AWS、谷歌、微软这几家还没出声。可能的原因有几个。第一，他们还在测，没出最终结论。第二，测出来的结果太敏感，不能公开说。第三，他们签了更严格的保密协议。

但Cloudflare既然敢说，而且是在CISO博客上公开发，那基本可以确定Anthropic已经默许了这种程度的披露。毕竟这是帮他们做压力测试，提前发现产品缺陷。如果Cloudflare不说出来，Anthropic可能在发布后才被用户发现护栏不够用，那才是真正的公关灾难。

CrowdStrike也是安全公司，他们应该也拿到了模型。但他们还没发声。可能他们测的是不同的维度，比如模型能不能绕过他们的终端检测产品。这个如果测出来真能绕过，那打死也不能公开说。

下一步会发生什么

Anthropic肯定会延期发布Mythos。本来可能计划下个月或者下个季度发布，现在Cloudflare这一嗓子，必须先把护栏问题解决。加装额外的护栏需要时间，需要重新训练或者至少加一层后处理过滤。这不是改几行配置就能搞定的。

第二，其他大模型厂商会跟进。OpenAI、Google、Meta都会测试自己的模型能不能做链式漏洞利用。如果做不了，他们就要赶紧补课。如果能做但没公开，他们就要评估要不要也像Cloudflare一样找第三方测试然后公开结果。

第三，安全行业的工作流程会变。以前靠人工或者半自动工具做漏洞链分析，以后可能直接用大模型。这对漏洞赏金猎人可能是坏消息，因为以前能卖钱的多步利用链，现在AI都能找到了。但对甲方安全团队是好消息，因为他们终于能低成本地做持续的红队测试了。

最后，监管可能会介入。如果一个大模型能自动生成带PoC的多步攻击，那它本质上就是一个自动化黑客工具。各国对这类工具的出口和发布都有严格限制。Anthropic如果要公开发布Mythos，可能要先和商务部、网络安全局这些部门打招呼，拿到许可才行。

别把它当玩具，它真的能干事

很多人觉得AI写攻击代码就是个噱头，跑出来大概率是玩具。Cloudflare的测试证明，Mythos已经过了玩具阶段。它能在一家全球级安全公司的真实生产环境里找到可用的漏洞链，并且产出能直接用的攻击脚本。这不是实验室里的demo，这是实战级别的能力。

所以Cloudflare的CISO才说“必须加装额外护栏”。他不是在说“这个模型有点危险，我们小心点”。他说的是“如果不加护栏，这个模型现在放出去会造成真实伤害”。这个表态的分量非常重，因为做安全的人通常不会夸张威胁，他们只会低估威胁以免引起恐慌。

当搞安全的人开始说一个东西危险的时候，你应该相信他。因为他平时的工作就是把所有东西都假设成危险的，然后证明哪些其实不危险。他都说危险了，那就是真的危险。

极客辣评

Mythos 只是源代码分析。 你必须要有源代码才能扫描。 如果你能找到一个漏洞，其他人也能找到。 这和"部署 Mythos，攻击目标公司"或"攻击 Windows"完全不同。

Mythos将多个低严重性漏洞链式结合成一个严重漏洞，并附带可工作的 PoC

Mythos 当然不是唯一能做到这一点的模型。我见过其他模型将 8 个以上的漏洞串联起来，用于远程代码执行攻击，最终导致整个系统被接管。

他们的营销比这个模型更令人惊叹！