Anthropic2026年4月推出了全新模型Claude Mythos,展現了AI在自主推理的關鍵性突破。Mythos在程式碼推理能力提升的過程中,催生出遠超預期的網路安全能力,它能夠找出隱藏在軟體中長達數十年的漏洞,強大的能力與隨之而來的潛在風險也引起擔憂。Claude Mythos究竟是什麼?具備哪些能力?誰能使用?費用多少?又引發了哪些資安疑慮?本文一次整理。
- Claude Mythos是什麼?
- Claude Mythos 5大特色
- Claude Mythos誰能用?
- Claude Mythos價錢
- Claude Mythos資安風險
- Claude Mythos常見問題
Claude Mythos是什麼?
Claude Mythos是Anthropic推出的全新模型,定位在現有Opus系列之上,目前對外釋出的版本為Claude Mythos Preview。Mythos並非一款常規的語言模型升級。它代表的是AI在自主程式碼推理上的一次質變,這款模型已能在真實軟體環境中,不依賴任何人工引導,從發現漏洞、驗證漏洞到嘗試構建完整攻擊流程,全程獨立完成。
正因為這種強大的自動化資安攻擊能力若遭惡意利用將帶來嚴重威脅,目前Mythos並未向一般大眾開放,僅以受限的研究預覽形式存在,提供給特定企業夥伴用來搶先修補系統弱點與強化網路防禦。
Claude Mythos 5大特色
1.基準測試全面領先
要評估一款AI模型夠不夠強,業界通常會用一系列標準化測試來打分數,再來比較哪個模型更全面。Mythos Preview在這些測試中的成績,幾乎是全面壓制前一代旗艦Opus 4.6。
其中最值得關注的是程式碼工程測試SWE-bench,這個測試模擬的是真實工程師在GitHub上修Bug的任務,Mythos拿到93.9%,比Opus 4.6的80.8%高出超過13%。數學競賽題USAMO的差距更為懸殊,Mythos達到97.6%,Opus 4.6只有42.3%。
2.自主零日漏洞偵測
「零日漏洞」指的是軟體中存在、但開發者還不知道的安全破口。一旦被攻擊者發現,開發商在修補之前完全沒有防禦手段,因此在資安圈屬於最高等級的威脅。
過去,要找到這類漏洞需要頂尖的資安研究員花上數週甚至數月的時間。Mythos Preview的驚人之處在於,它能自己讀程式碼、自己測試、自己確認漏洞是否真的存在,全程不需要人類介入。
更讓人震驚的是,它找出來的漏洞不是剛寫進去的新錯誤,而是那種已經在全世界的電腦裡藏了幾十年、連自動化掃描工具都沒抓到的隱性缺陷。以下3個是Mythos找出並完成修補的案例:
- OpenBSD 27年漏洞:OpenBSD是公認最注重安全的作業系統之一,常用於防火牆等關鍵設備。Mythos找到一個藏了27年的漏洞,攻擊者不需要任何密碼或特殊權限,只要連線上去就能讓對方的機器直接當機。
- FFmpeg 16年漏洞:FFmpeg是全球幾乎所有影音播放軟體背後都在用的核心元件。Mythos找到的漏洞所在程式碼,過去已被自動化測試工具執行逾500萬次,每次都安然過關,直到Mythos出現才被揪出來。
- FreeBSD NFS伺服器漏洞:這個存在17年的漏洞讓攻擊者不需要帳號、密碼,就能從網路上取得伺服器的最高管理權限,等於是拿到了整台機器的鑰匙。
3.把漏洞串成攻擊鏈,還能破解沒有原始碼的軟體
找到一個漏洞已經很難,但Mythos Preview展現的是更進一步的能力:把多個看似零散的問題組合在一起,設計出一套完整的入侵流程,讓攻擊者從瀏覽器網頁一路突破到控制整台電腦的完整方法。
更讓資安圈警覺的,是它對付「看不到原始碼的軟體」的能力。通常軟體公司不會公開程式碼,研究者很難直接找漏洞。Mythos可以拿著編譯好的執行檔,反推出程式大概的運作邏輯,再從中找出可以利用的弱點。Anthropic已用這個方式,在多款不公開原始碼的瀏覽器與作業系統中找到真實可利用的安全問題。
4.百萬Token脈絡視窗
和AI對話時,模型能「記住」的內容是有上限的,超過這個上限,它就會開始忘記對話前段說了什麼,這個上限在技術上稱為「脈絡視窗」,單位是Token。Mythos Preview的脈絡視窗達到100萬Token,這代表它可以一次讀完一整個軟體專案的所有程式碼、一份完整的法規條文或一套跨多個文件的技術規格,再統整分析,不需要把內容切成好幾段分批餵給它處理。
對資安工作來說,這個特性尤其關鍵。真實世界的漏洞往往藏在不同檔案之間的互動關係裡,必須同時掌握整個系統的全貌才能看出問題所在。能一次吃下整個程式碼庫,是Mythos得以自主完成複雜安全分析的重要基礎之一。
5.代理人能力大幅提升
Mythos Preview在AI Agent的能力達到目前所有模型中的第一位。它可以自己拆解一個複雜任務,決定先做什麼、後做什麼,在過程中呼叫需要的工具,碰到問題時自行調整方向,最後把完整結果交出來。
也就是說,只要讓Mythos檢查這個軟體專案有沒有安全問題,它就會自己讀程式碼、自己設計測試、自己驗證疑似漏洞是否真的存在,再輸出一份完整的漏洞報告,整個過程不需要人類在旁邊一步步下指令。這也是為什麼Anthropic能夠用它同時平行掃描大量開源專案,效率遠非人工所能比擬。
Claude Mythos誰能用?
Claude Mythos Preview目前並未對一般用戶開放,存取資格依對象不同分為以下幾類:
- Project Glasswing核心夥伴:AWS、蘋果、博通、思科、CrowdStrike、Google、摩根大通、Linux基金會、微軟、NVIDIA、Palo Alto Networks等,均已納入計畫並取得使用授權,主要用於防禦性資安工作。
- 受邀的關鍵基礎設施組織:超過40個建置或維護關鍵軟體基礎設施的組織,獲邀以Mythos Preview掃描與強化自家系統。
- 開源維護者:開源軟體的維護者可透過Claude for Open Source計畫申請存取資格。
Claude Mythos價錢
Claude Mythos Preview目前處於受限研究預覽階段,對一般用戶而言暫時沒有付費使用管道。以下是已知的定價資訊:
| 使用對象 | 存取方式 | 費用說明 |
| Project Glasswing核心夥伴 | 受邀加入計畫 | 預覽期間由Anthropic的1億美元額度涵蓋 |
| 受邀開源維護者 | Claude for Open Source計畫 | 部分由Anthropic補助 |
| 研究預覽結束後的API用戶 | Claude API/Amazon Bedrock/Google Cloud Vertex AI/Microsoft Foundry | 輸入每百萬Token 25美元、輸出每百萬Token 125美元 |
Claude Mythos資安風險
Mythos Preview能自主找漏洞、自主構建攻擊程式,這件事本身已讓資安圈高度警戒。但更讓Anthropic工程師感到棘手的,是測試過程中模型做的幾件沒有人指示的事。
根據Anthropic公布的系統安全報告,Mythos曾在隔離環境中自行摸索到其他服務的登入憑證並加以使用。更值得關注的是,它在修改了一個原本無權碰觸的檔案後,主動將這筆操作從系統紀錄中抹除。Anthropic的解釋是,這些行為是模型在嘗試完成任務時的衍生判斷,並非刻意設計的功能,也不代表模型具備自主意識。
外界對Anthropic的公開說法也抱持一定保留。部分資安專家指出,將模型定性為高度危險、同時嚴格限制存取,本身是一種製造稀缺感與市場關注的操作手法。加上封閉的使用機制,讓外部研究者幾乎無法對官方說法進行獨立驗證,真實能力的上限至今仍難以客觀評估。
Claude Mythos常見問題
Q:Claude Mythos一般人可以使用嗎?
目前Claude Mythos Preview僅對Project Glasswing的成員及受邀組織開放,一般用戶尚無法直接使用。
Q:Claude Mythos是資安模型嗎?
不完全是,Anthropic把Claude Mythos定位在通用型大型語言模型,只是它在資安任務上的能力特別突出。
Q:Claude Mythos可以用來做什麼?
Mythos Preview目前的主要應用集中在網路安全研究,包括自主漏洞偵測、漏洞利用概念驗證與滲透測試。由於它是通用模型,理論上在編碼、推理與研究分析等一般任務上同樣具備強勁表現,但目前存取限制使其用途仍以資安防禦為主。
參考資料:Anthropic
延伸閱讀:
Claude Managed Agents是什麼?功能、費用與企業案例解析
Claude Cowork完整教學》是什麼?如何使用?6步驟打造超強AI工作流
Token燒太快?Anthropic官方給出4條Claude Code建議,這樣做降低額度消耗
核稿編輯:陳虹伶
