AI找漏洞的速度,已經超過了它補漏洞的速度
AI在漏洞挖掘上的能力與進化速度
AI找漏洞的速度在指數級增長,人類補漏洞的速度是線性的。中間的時間差就是攻擊窗口。根據Verizon的數據,關鍵漏洞從公開到被大規模利用的中位時間僅5天,而修復卻需要32到38天。
Claude模型在漏洞挖掘上的實證表現
Anthropic披露,Claude Opus 4.6已在開源軟體庫中自主識別並驗證了超過500個高危安全漏洞,這些漏洞在過去多年裡一直未被社區或專業工具發現。
根據BlockBeats報導,Claude 5.0內測曝光顯示,大模型透過檢索增強生成(RAG)技術實現系統級安全推論,僅用90分鐘就挖掘出20年Linux的漏洞,顯示AI在複雜漏洞發現上的能力已遠超人類預期。
攻防能力的斷層與市場反應
在Cybench測試中,Claude Sonnet 4.5的成功率達46%,排名第二的GPT-5為28%,谷歌的Gemini 2.5 Pro僅18%,開源模型qwen3-32B則低至10%。Claude的複雜攻防能力是GPT-5的1.6倍,是Gemini的2.5倍,顯示模型之間的能力分佈是斷層而非梯隊。
Anthropic研究團隊統計,從Sonnet 3.7(2025年2月)到Sonnet 4.5(同年下半年),僅用6個月,成功率從35.9%提升至76.5%,翻倍成長。
安全響應的遲緩與產業趨勢
Anthropic過去三年的動作顯示,每次發布更強的模型,緊接著就是更高等級的安全響應。例如2023年簽署白宮自願承諾,2024年升級RSP至v2.0,2025年披露GTG-1002事件,顯示AI被用於執行80%至90%的網絡間諜行動。
2026年2月,Anthropic更新RSP至v3.0,並同步發布Claude Code Security。同月,五角大樓因拒絕取消合同中關於禁止大規模監控與全自主武器的限制條款,將其列為「供應鏈風險」。3月27日Mythos草稿洩露,Anthropic承認該模型具有「前所未有的網絡安全風險」。
Dark Reading今年初調查顯示,48%的資安專業人員將智能體AI列為2026年頭號攻擊向量,顯示AI已從潛在威脅轉為現實威脅。
Anthropic的Mythos發布策略是先提供給防禦方組織早期訪問,「給他們一個先發優勢」,這句話本身就是對攻防不對稱的確認。