补丁发布到漏洞利用之间那道时间缓冲带,可能已经不存在了。Anthropic 安全团队最近做了一组实验:把 Firefox 和 Windows 内核的安全补丁丢给自家的 Mythos Preview 模型,结果它在几小时内就吐出了可工作的漏洞利用代码,成本不过数千美元,整个过程不需要任何安全专家介入。真正让人后背发凉的是另一个数字——微软的自动更新还没推到任何一台终端设备上,Mythos 已经跑通了 8 条完整的攻击链。
这意味着什么?传统安全防御的核心逻辑是"补丁窗口":漏洞被发现、研究人员上报、厂商写补丁、用户更新系统,这段间隔里虽然危险,但通常以天甚至周为单位,给防守方留了喘息余地。Mythos 把这个窗口压缩到了小时级别,而且操作门槛被降到了零——过去要复现一个内核级漏洞利用需要顶尖研究员花几周时间,现在一个不懂漏洞原理的人花几千美元租点算力就能办到。补丁刚公开的那一刻,反而成了最危险的时刻,因为攻击者拿到的东西和防守者完全一样。
Anthropic 的判断很直接:靠"先发补丁再被利用"的时间差来保障安全,这套逻辑已经走不通了。下一步的防御方向必须转向运行时检测、行为阻断和架构层面的隔离——也就是说,不能再假设系统打上补丁就是安全的,而要假设补丁公开的那一刻系统就已经处于被攻击状态。安全行业过去十年围绕"快速响应"建立的那套体系,可能需要从根基上重写。
