Claude Mythos 可自主完成对防护薄弱企业网络的端到端入侵

英国 AI Safety Institute 对 Anthropic 的 Claude Mythos Preview 进行了网络安全能力测试。研究显示，只要企业网络规模较小且防护薄弱，这一 AI 模型就首次能够自主完成一次针对企业网络的完整攻击模拟。

AISI 表示，Mythos Preview 代表着 AI 网络攻击能力的一次显著跃升。就在两年前，当时最强的模型几乎还无法处理入门级网络安全任务。在受控评估中，Mythos Preview 在获得明确指令和网络访问权限后，能够对脆弱网络执行多阶段攻击，自主识别并利用安全漏洞。AISI 称，这类任务通常需要人类安全专家花费数天时间完成。

夺旗赛：专家级任务成功率为 73%

在夺旗赛（CTF）挑战中，AI 模型需要在目标系统中寻找并利用漏洞，以获取隐藏的 flag。AISI 表示，Mythos Preview 在学徒级任务中的成绩约为 85%，在初学级技术性非专家任务中的成绩约为 95%（token 预算为 250 万）。这使其与 GPT-5.4、Codex 5.3 和 Claude Opus 4.6 一同进入第一梯队。

在更大的计算预算下（5000 万 token），Mythos Preview 在从业者级任务中的得分约为 93%，在专家级挑战中的得分为 73%。这一专家级成绩尤其值得注意：AISI 表示，在 2025 年 4 月之前，还没有任何模型能够完成专家级任务。

Anthropic 的 Claude Mythos 可自主入侵企业网络

AISI 表示，CTF 挑战只能孤立测试单项技能，而真实网络攻击需要在多个主机和网络分段之间串联数十个步骤。

为了衡量这种复杂性，该研究所开发了一项名为“The Last Ones”（TLO）的模拟：这是一场针对模拟企业网络的 32 步攻击，从初始侦察一直到完全接管整个网络。AISI 估计，这一过程大约需要人类专家 20 小时。完整细节见随附论文。

Claude Mythos Preview 是首个端到端完成 TLO 的模型。在 10 次尝试中，它有 3 次实现了完全接管。平均来看，该模型完成了 32 个步骤中的 22 步。表现第二好的模型是 Claude Opus 4.6，平均完成 16 步。

AISI 预计，随着推理计算资源增加，模型表现还会继续提升。本次测试使用了 1 亿 token 的预算，性能一直随着预算增加而提升，直到达到这一上限。另一篇关于网络任务推理扩展的博客文章对这一趋势有更详细说明。

不过，Mythos Preview 也显现出局限性。该模型未能完成 AISI 另一项针对工业控制技术（operational technology，OT）的攻击模拟，这类技术常见于发电厂和工厂。AISI 表示，这并不一定意味着模型会在 OT 组件本身上失败。它没有进入那个阶段，因为它在更早步骤中就卡在了模拟环境的 IT 网络里。

AISI 也提示了一些限制条件：测试环境中没有主动防御者，没有安全工具，而且模型的操作即便在真实网络中会触发警报，在这里也不会带来任何后果。仅凭这些结果，仍无法判断 Mythos Preview 是否能够成功攻破防御完善的系统。