我最近几天读到一些非常令人不安的事情，值得我们认真讨论。Anthropic 开发了一种名为 Claude Mythos 的人工智能模型，它能做一些现有安全工具从未成功做到的事情。我们在谈论发现和利用多年来甚至数十年未被发现的软件漏洞。

具体来说，这个模型用不到50美元的计算成本，找到了一个存在了27年的 OpenBSD 漏洞。你能想象吗？一个设计得几乎不可能被黑的操作系统，却藏着这么长时间的漏洞。它还发现了一个在 FFmpeg 中的漏洞，自动化工具分析了超过五百万次都未被检测到。而且，这还是一个浏览器漏洞，结合四个不同的漏洞绕过了两层安全防护。

但真正应该让我们这些关注加密和去中心化金融（DeFi）行业的人感到担忧的是，Anthropic 报告 Mythos 还发现了最重要的加密协议中的弱点：TLS、AES-GCM 和 SSH。这些技术保障着互联网安全，保护我们的 HTTPS 连接，并允许访问运行 DeFi 基础设施和交易所的服务器。如果有人找到利用这些漏洞的方法，就可能伪造证书或窃听私密通信。

对于加密和 DeFi 来说，风险更为严重，因为这些协议都是开源的。任何人，包括像 Mythos 这样的模型，都可以阅读代码，并以机器的速度列出每个弱点。Ethereum、Solana 和其他链上智能合约中锁定的 2000 亿美元，虽然经过人工和扫描工具的审计，但 Anthropic 断言 Mythos 已经达到了超越这两者的水平。

让我真正担心的是，目前 DeFi 的防御措施很大程度上依赖所谓的“摩擦”，而不是坚固的防护墙。多重签名、时间锁、安全审计，这些措施虽然能减缓操作速度，但并不能真正阻止代码层面的攻击。Anthropic 明确指出，这些措施“在面对由模型协助的对手时，效果可能大大降低”。

目前市场还没有明显反应。DeFi 选择指数在24小时内甚至上涨了7%，超过了比特币和以太坊。但说实话，展望未来，我们不仅要关注宏观经济因素，还要密切关注 Mythos 的动向。它对软件安全和区块链的潜在影响可能是巨大的。

还有个好消息：Mythos 还没有公开发布。Anthropic 将其分享给了包括谷歌、苹果和微软在内的40家大型软件公司，作为“Glasswing 项目”的一部分。这为我们留出了一些时间去思考解决方案，但显然，这件事必须引起足够的重视。