小型模型也能發現 Mythos 識別出的安全漏洞

背景

這篇文章探討了 Anthropic 推出的資安強化模型 Mythos 在發現零日漏洞（Zero-day vulnerabilities）上的表現，並由 AISLE 團隊提出質疑。AISLE 宣稱透過實驗發現，即使是參數規模極小、成本極低的開源模型，在特定條件下也能識別出 Mythos 所發現的旗艦級漏洞。這場爭論的核心在於，AI 資安能力的護城河究竟是模型本身的規模與智慧，還是圍繞模型建構的自動化系統與腳手架。

社群觀點

Hacker News 的討論主要圍繞在實驗方法論的嚴謹性，以及「發現漏洞」與「自動化掃描」之間的本質差異。許多留言者對 AISLE 的實驗設計表示質疑，認為他們將「相關程式碼片段」預先分離出來並餵給小模型的做法，極大地降低了任務難度。這就像是已經知道某個區域有黃金，才叫小模型去挖掘，而 Mythos 的價值在於它能從龐大的原始碼海中，自主定位出那塊藏有黃金的區域。部分評論者指出，在現實的資安攻防中，最困難的步驟往往是從數百萬行程式碼中識別出可疑的攻擊面，而非單純分析已知有問題的函數。

此外，社群成員也強調了「漏洞發現」與「漏洞利用（Exploit）」之間的巨大鴻溝。有人引用 Anthropic 的數據指出，雖然舊款模型如 Opus 4.6 也能發現漏洞，但在撰寫可運行的攻擊程式碼（PoC）方面，成功率幾乎為零，而 Mythos 則展現了質的飛躍。這意味著模型在複雜邏輯推理與多步驟鏈接攻擊的能力上，依然存在顯著的規模效應。如果只是給予提示並要求模型分析特定函數的溢位行為，小模型確實能勝任，但這並不能代表它們具備在無人干預下完成端到端漏洞挖掘的能力。

然而，也有另一派觀點支持「系統勝過模型」的論點。有留言者認為，如果能透過良好的工程手段，將龐大的程式碼庫自動切分成函數或邏輯塊，再交由低成本模型進行初步篩選，這種「腳手架」式的架構確實可能比單一強大模型更具成本效益。爭論的焦點最終落在誤報率與雜訊控制上：小模型在掃描整個程式碼庫時，可能會產生海量的錯誤警報，導致人工審核成本飆升，而這正是頂尖模型試圖解決的痛點。整體而言，社群普遍認為這項研究雖然有趣，但因實驗條件過於簡化，且存在潛在的利益衝突，尚不足以推翻 Anthropic 在模型能力上的領先地位。