經過數星期激烈談判,Anthropic 宣布透過受控計劃 Project Glasswing,授權歐盟網絡安全局(ENISA)使用旗下最強大網絡安全 AI 模型 Claude Mythos。ENISA 因而成為首個加入該計劃的歐盟機構。這款 AI 模型至今已在全球多款關鍵軟件中,自主發現超過 10,000 個高危及嚴重零日漏洞。
本文將深入探討 3 大焦點:Mythos 模型如何顛覆網絡安全技術、歐美在 AI 使用權上展開的主權博弈,以及此決定對全球網絡安全格局帶來的深遠影響。
Mythos 改寫網安攻防規則
Mythos 並非普通漏洞掃描工具,而是代表網絡安全 AI 的全新品種。根據 Anthropic 官方說明,Claude Mythos Preview 自 2026 年 4 月 7 日亮相以來,已能自主識別複雜程式碼庫中的安全漏洞。在超過 83% 情況下,Mythos 能在首次嘗試時生成可運行漏洞利用程式碼(exploit),完成傳統上需要數月人手處理的攻擊模擬工作。
The Hacker News 指出,Mythos Preview 在測試過程中自主建立一條瀏覽器漏洞利用鏈,串聯 4 個漏洞並成功突破渲染器及作業系統沙箱。Mozilla 更表示,公司借助 Mythos 在 Firefox 中發現並修復 271 個漏洞,數量是前一代 Claude Opus 4.6 模型發現漏洞的 10 倍以上。Mythos 亦揭露一個存在 27 年的 OpenBSD 漏洞,以及可讓攻擊者完全控制 Linux 裝置的核心漏洞鏈。
Radware 網絡安全分析師形容,Mythos 崛起標誌着「從人力主導攻擊到 AI 驅動加速」的歷史性轉折點。漏洞發現的速度、規模與自動化程度,正以前所未有的方式重塑整個威脅格局。
歐盟壓力下 Anthropic 讓步
在商業利益與地緣政治雙重壓力夾擊下,Anthropic 立場出現決定性轉變。Bloomberg 於 2026 年 6 月 1 日率先披露,Anthropic 已在週末通知歐洲委員會,決定接納 ENISA 加入 Project Glasswing。這是 Glasswing 計劃首次在美國及英國以外地區作出授權。
歐盟方面罕有地展開高強度游說。歐元集團財長在布魯塞爾召開特別會議,西班牙經濟部長 Carlos Cuerpo 警告,Mythos「幾乎可以在所有機構中發現漏洞或後門」。歐洲央行(ECB)副行長 Luis de Guindos 亦在歐洲議會呼籲,應為歐元區支付系統提供「預防性保護」。歐盟委員會官員更親赴三藩市直接施壓,雙方合共舉行 4 至 5 輪會談。
The Next Web 調查報道指出,談判焦點包括數據主權條款、調查結果向歐盟成員國分享的限制,以及 ENISA 獲准測試的系統範圍。ENISA 發言人公開確認:「使用權已獲承諾,但具體條款仍在敲定之中。」
歐洲數碼安全結構性弱點暴露
Mythos 使用權危機最終揭示歐洲數碼安全架構的深層矛盾。Mythos 發現超過 10,000 個零日漏洞,涉及歐洲銀行系統、政府網絡及關鍵基礎設施依賴的軟件。然而在 ENISA 取得使用權前,歐洲安全機構對此毫不知情,更遑論採取補救行動。
更深層問題在於,現行《歐盟 AI 法案》(EU AI Act)將於 2026 年 8 月全面實施,但條文未有任何機制,可強制要求美國企業向歐洲監管機構共享其最強大模型。Cloud Security Alliance(CSA)已就此發出警告,形容 Mythos 帶來的效應可能觸發一場「AI 漏洞風暴」,令各地 CISO(首席資訊安全官)必須為「後 Mythos 漏洞利用浪潮」做好準備。
這場危機亦催生並行防禦措施。BNP Paribas 與 Mistral 已宣布聯合啟動歐洲自研替代方案計劃。無論 ENISA 最終以何種條款加入 Glasswing,這項主權 AI 項目均會持續推進。
未授權使用事件為協議蒙上陰影
然而在 ENISA 達成協議前夕,一宗安全事故已令外界質疑 Anthropic 的使用管控能力。BBC 報道,Anthropic 正調查一批人員透過第三方承包商,在未獲授權情況下使用 Mythos Preview 的指控。
Smarttech247 行政總裁 Raluca Saceanu 分析,今次事件並非傳統意義上的黑客入侵,而是「使用授權不當使用」。據悉涉事人員已使用該模型一段時間,但目的並非惡意攻擊,主要是為避免被發現。Bloomberg 報道顯示,正是這個漏洞令 LinkedIn 上有評論直指:「所謂嚴格管控,既然第三方可以讓第四方使用,就算不上那麼嚴格了。」
Anthropic 表示,目前尚無證據顯示任何惡意行為者已取得 Mythos,其內部系統亦未遭入侵。但今次事件無疑令 ENISA 談判更加複雜,也令外界更關注 Glasswing 成員組織如何在擁有攻擊性 AI 工具的同時,維持嚴格使用管控。
跨大西洋 AI 治理的新棋局
ENISA 加入 Project Glasswing,對企業和政府的影響遠不止一紙技術授權協議。首先,事件標誌着在 AI 能力外交上,盟友關係能夠在壓力下重新校準;其次,Anthropic 在歐盟 AI 法案全面實施前,展示一定合規姿態;第三,事件亦向在歐洲部署 Glasswing 發現成果的企業發出明確訊號:歐盟監管機構將具備獨立核查其網絡安全聲明的能力。
Mythos 定價為每 100 萬個輸入 token 收費 25 美元(約港幣 HK$195)、每 100 萬個輸出 token 收費 125 美元(約港幣 HK$975),可透過 Claude API、Amazon Bedrock、Google Cloud Vertex AI 及 Microsoft Foundry 使用。ENISA 的使用權究竟按商業條款還是政府間協議執行,仍然未有答案。
隨着歐盟成員國的國家網絡安全機構及金融業界必然逐步跟進,爭取各自直接使用渠道,這場跨大西洋 AI 治理棋局才剛剛走完第一步。真正問題是:當一款 AI 工具已成為國家安全基礎設施一部分,誰有權決定誰能觸碰它?
來源:TNW
