新智元报谈

【新智元导读】本年4-5月，AI迎来「水门事件级」窗口：攻方落地、守方济急、杂音失控、处置失灵同期暴发。Anthropic主动封印Claude Mythos，只因它巨大到必须送进末日火山。

全球最老练的开源安全防地，要被AI叙述活活淹死了！

莫得黑客攻破，莫得零日舛误炸。

AI舛误猎手们用并吞把刀、砍并吞棵树。

他们往并吞个邮箱里塞了成百上千封一模一样的叙述，直到这套运转了二十多年的安全机制，透顶瘫痪。

5月17日，在每周内核现象更新里，Linus Torvalds的一句话让系数开源社区细念念极恐：安全邮件列表「险些完全无法束缚」。

这不是怀恨。这是Linux内核之父亲手签发的一张病危见告书。

全球最顶级的开源安全历程，扛过了二十年的黑客挫折、国度级APT渗入、无数次零日风暴。当今，被AI的「好心」压垮了。

更可怕的是，Linus点名了罪魁首恶：不是AI器具本人，而是那些用AI扫一遍代码、发完叙述回身就走的东谈主。

这种步履号称「毫无道理的厄运和假装责任。」

上图由AI生成

AI能以百倍速率发现舛误，但诞生仍然需要东谈主类工程师坐下来读几千行代码、证据模块依赖、写出不引入新bug的补丁。

此时，发现bug和诞生之间的畛域，正在被AI撕成幽谷。

AI太强不是问题，东谈主类融合系统第一次被AI的产出速率正面击穿才是问题。

安全列表变垃圾场

尺度略Linus为什么生气，先尺度略这个安全邮件列表是什么。

Linux内核有一套奥妙安全叙述历程。

潜在舛误被发现后，叙述要发到专用邮件列表，中枢休养者评估、诞生、发补丁，走完历程后才公开。

这套机制运行了二十多年，是全球开源安全处置的标杆。

然后，AI来了。

Syzbot这类暗昧测试器具早就存在，但近两年LLM援手舛误检测的才调爆发式增长。

器具变强了，门槛变低了，越来越多的策划者——其中不少是安全赏金猎手——运转用AI批量扫描内核代码。

问题是，各人用的器具大同小异，扫出来的舛误也大同小异。

并吞个bug，被不同东谈主用不同AI器具发现，然后永别提交到安全邮件列表。休养者洞开邮箱，十封叙述说的是并吞件事。再洞开，又是十封。

更谬妄的是，这些AI发现的bug绝大多数压根不是什么玄妙信息。

它们在公开的代码里，用公开的器具就能找到，本体上不需要走奥妙安全历程。但叙述者无论这些，绝对往安全列表塞。

Linus的原话：各人只顾着转发「已诞生」或指向公开有计划，制造「完全无道理的瞎折腾」（ entirely pointless churn）。

奥妙安全历程的狡计初志，是处理信得过明锐的零日舛误。

当今，它被AI批量产出的低质料叙述淹了。

Linux内核的休养者的期间被多数糜掷在筛选叠加项上，信得过危境的舛误反而可能被埋在垃圾里。

AI发现的bug用奥妙历程处理，后果奥妙历程成了垃圾桶。

齐是AI惹的祸?

在畴前，世界杯官方认证平台发现一个Linux内核舛误就足以封神。

你需要深厚的底层功底、一夜的逻辑复现和近乎直观的细察。

但当今，AI暗昧了这种界限。

所谓的「过客式叙述」（Drive-by reporting），成为一种新的电子泔水冲击信息安全。

像Linus这么的顶级休养者，必须动用东谈主类最崇高的贯通资源，去讲解注解一份 AI 生成的垃圾叙述确乎是垃圾。

零本钱的发现与高本钱的审计，这种「信息不合称」正在制造恐怖的「贯通DDoS挫折」。

当AI将发现Bug的边缘本钱降至零时，淌若你莫得在AI的基础上增多任何「东谈主类增量」，你制造的就不是孝顺，而是熵增。

AI并莫得让安全变得更浅近，它仅仅让「制造杂音」变得不再有门槛。

需要明确的是，Linus Torvalds本东谈主并不反对使用AI，直言「温和使用它们，但要用得有见效，能带来更好的体验。」

把畴前 18 个月放在一条期间线上，会看到一个明确的相变：

本年4-5月是AI信息安全的「水门事件级」窗口。

攻方落地、守方济急、杂音失控、处置失灵，四件事在 30 天内同期发生。

Anthropic的Claude Mythos险些能黑进全国上险些任何软件。

Anthropic决定烧毁这种权利，启动Project Glasswing。他们想把那只魔戒送到末日火山。

这是AI历史上第一次因为「攻防失衡」，主动摈弃发布。

这绝非稠浊视听。

奇点将至，AI外传或成真

刚刚，Cloudflare首席信息安全官Grant Bourzikas坦承，Mythos非同凡响！

他公布了Anthropic未发布的 Mythos对50 多个自有坐褥仓库的测试后果。

据他所述，Mythos过于巨大，在向公众发布前必须「增多出奇的安全堤防形式」。

事实讲解注解，该模子粗略将多个低严重性舛误串联成具有可运行宗旨考据（PoC）的高危舛误哄骗，而此前的前沿模子最多只会留步于「道理的舛误，但尚不明晰是否可被哄骗」。

在分类排查阶段，这意味着更少的滞滞泥泥的发现后果，以及花更少期间追问「这到底是不是确实？」。

附带PoC的发现后果，便是不错立即接受行径的发现后果。

在安全方面， Cloudflare也明确表态。

Mythos预览版，并未包含Opus 4.7或GPT-5.5等通用模子所具备的安全堤防形式。

该模子确乎存在原生拒却机制。

Cloudflare所发现，这些自愿的拒却步履并不一致：相通的任务，若以不同容貌表述或置于不同语境中，可能会产生截然有异的后果。

Cloudflare指出，这些机制的一致性不及以单独组成无缺的安全限制，任何未来面向公众发布的收集前沿模子，齐必须在此基础之上出奇配备安全堤防形式。

道理的是：Cloudflare领先并不在Project Glasswing的发布合作伙伴名单中，该名单包括Apple、AWS、Google、Microsoft、CrowdStrike等公司。他们是自后才受邀加入的。

当今，Mythos仍受质疑。

但Cloudflare直言，AI对安全的冲击毫不仅仅速率的问题：

信得过的解法是架构重构。

与其压缩反馈期间，不如让舛误即使存在也难以被哄骗。

这包括三层架构原则：

AI挫折才调的「广岛技术」，此次来了。

参考长途：

https://x.com/Dinosn/status/2056175689808679106

https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made--security-mailing-list-almost-entirely-unmanageable/5241633

https://x.com/IntCyberDigest/status/2056452732987248948?s=20

https://blog.cloudflare.com/cyber-frontier-models/

剪辑：KingHZ David