4月7号Anthropic发了一篇博客标题平平无奇“Claude Mythos Preview”。但博客里有一句话直接把安全圈炸了“这是我们有史以来构建的最强大的AI模型。”三天后Tom’s Hardware挖出了更猛的细节Mythos在内部测试中找到了所有主流操作系统和浏览器里的数千个零日漏洞有些漏洞存在了几十年从来没人发现过。一周后4月14号OpenAI亮了底牌GPT-5.4-Cyber。七天两个巨头同一个赛道。这不是巧合。MythosAnthropic造了个自己都害怕的东西先说Anthropic这边。Mythos其实不是专门为网络安全训练的模型。据CNBC报道Anthropic明确说过它是一个通用模型网络安全能力来自强大的编码和推理能力。换句话说它是聪明到顺手就把安全给破了。但它到底强到什么程度据Anthropic红队博客red.anthropic.com披露Mythos Preview做了几件让人后脊发凉的事独立链式利用漏洞从零权限一路提到root。安全圈的人都知道单个漏洞利用是脚本小子的活把多个漏洞串起来完成完整攻击链——那是高级APT团队的看家本领。Mythos自己就干了。横扫所有主流浏览器。Anthropic的原话是识别并利用了所有主流Web浏览器中的漏洞。因为还没修补他们拒绝透露技术细节。注意是所有——主流浏览器一个没落下。Anthropic的反应才是最有意思的部分。他们选择不发布。Mythos Preview不对公众开放。它只通过一个叫Project Glasswing的计划开放给苹果、谷歌、微软、英伟达、AWS、Broadcom、Cisco、CrowdStrike、Palo Alto Networks、摩根大通、Linux基金会等40多家机构做防御性安全工作。据Anthropic官方博客他们还拿出了1亿美元的API额度和400万美元的开源安全捐赠来支持。据CNBC报道Anthropic甚至私下向美国政府官员发出警告这种级别的模型可能被用来发动大规模网络攻击。一家AI公司做出了一个模型然后自己把自己吓到了选择把它锁起来。这在行业里还是头一回。GPT-5.4-CyberOpenAI的一周后发制人4月14号OpenAI的回应来了。路子和Mythos不太一样。GPT-5.4-Cyber是OpenAI专门为网络安全场景微调的版本官方说法叫cyber-permissive翻译成人话就是对安全人员少设限。具体能干什么据OpenAI官方博客和The Hacker News报道二进制逆向工程——不需要源代码就能分析编译后的软件有没有恶意代码或漏洞。以前这是高级安全研究员的看家本事现在模型能搭把手了。降低拒绝边界——这是和普通版GPT-5.4最大的区别。普通版动不动就因为安全策略拒绝请求哪怕你是正经做安全研究的。Cyber版知道你是认证过的防御人员更配合。分发方式上OpenAI走的是Trusted Access for CyberTAC计划分等级开放最高等级才能拿到GPT-5.4-Cyber。据OpenAI官方博客目前扩大到数千名认证防御者和数百个团队。据Mashable报道OpenAI的这个做法被外界认为是在跟进Anthropic的Project Glasswing思路。Mythos之后整整七天就亮牌——说明不是临时起意是早就备好了在等窗口。行业格局拐点已到拉开时间线看这次竞赛透露了三个信号。AI在安全领域的能力过了某个临界点。据Fortune报道OpenAI今年2月发布GPT-5.3-Codex时就首次将其归类为网络安全高能力模型——这是他们内部Preparedness Framework里的高级别风险分类。Anthropic的Claude Opus 4.6也被证实能在生产代码中找到未知漏洞。Mythos和GPT-5.4-Cyber只是把这个能力又往前推了一大步。有限发布成了两家不约而同的选择。这跟以前模型做出来就往ChatGPT里一塞的做法完全不同。背后的逻辑一样先把工具给防御方让白帽子跑在黑帽子前面。Anthropic红队博客说得很直白——短期内攻击者可能占便宜长期来看防御方会赢。但短期到底有多短谁也说不准。网络安全行业本身要变天了。CrowdStrike、Palo Alto Networks这些头部安全公司已经主动站队加入。据36氪报道2026年的核心趋势就是用AI监控AI用算法对抗算法。传统渗透测试团队的活正在被大模型加速蚕食。还有一个容易被忽略的细节Fortune在3月底从Anthropic的一个公开数据缓存里抢先发现了Mythos的存在消息一出网络安全股票暴跌CrowdStrike跌了7.5%Palo Alto Networks跌了6%iShares网络安全ETF跌了4.5%。市场的反应比评论员的快得多AI安全模型不只是产品它可以直接撬动网络安全行业的估值逻辑。我的判断这次不是普通的模型迭代是一个分水岭。两个细节值得单独拎出来说。一是Anthropic做出了一个太危险所以不公开的模型这在AI行业是头一回。之前的争议是AI会不会说错话“会不会有偏见”现在变成了AI能不能黑掉一切。问题的量级完全不同了。二是OpenAI的响应速度。Mythos的细节3月底被Fortune曝光4月7号正式发布4月14号OpenAI就亮牌。一周的响应时间说明GPT-5.4-Cyber早就准备好了只是在等一个合适的发布时机。这不是跟风是竞速。两家在安全赛道上的卡位战比大众想象中激烈得多。对普通人来说短期内你感受不到这两个模型的存在——它们都不对公众开放。但对安全行业来说变化已经在发生。据Tenable的分析已经有企业的董事会在问Mythos对我们的安全策略有什么影响了。一个能找到藏了20年的零日漏洞的AI一个能从零权限提到root的AI——它们不公开不代表不存在。防御方先拿到钥匙总比攻击方先拿到好。你觉得AI安全大模型会先帮防守方站稳脚还是先被攻击方利用评论区扣1防守方先赢或扣2攻防不对等防守永远慢一步。