Related articles
文 | 字母 AI
从凌晨到现在,全世界应该已经都知道并且震惊了:
Anthropic 的新模型 Mythos Preview 太强了,强到让人害怕,如果发布,对网络安全将是一个威胁。
但同时,Mythos Preview 太强了,强到可以大大加强网络防御能力。
既能当剑也能当盾牌。
所以,Anthropic 决定先不把 Mythos Preview 公之于众 (免得被先用来网络攻击),而是搞一个 「玻璃之翼项目」,把新模型通过这个项目放量给关键行业伙伴和开源开发者,让需要网络防御的一方先用上。
不管是新模型还是新项目,都在呐喊四个字:网络安全。
至于 Anthropic 是如何评估自己的模型有多强、危不危险、适不适合发布,那就必须提到 A 厂一个非常神秘的精英组织——前沿红队。
Anthropic 的前沿红队存在已久,专门当 「刺儿头」,从各个维度对模型发起挑战,测试模型的 「弱点」 与出人意料之处。
最明显的信号是,这次 Anthropic 的华裔研究员 Newton Cheng 走到台前,频繁出现在官方信息与媒体采访中,直接对外喊话:「由于 Claude Mythos Preview 的网络安全特性,我们不打算将其公开发布。」
而他,正是前沿红队中网络安全团队的负责人。
那个叫 「牛顿」 的华裔
Newton Cheng 这个名字颇为特别,Newton 本身和著名科学家 (对,就是被苹果砸头的那位)「牛顿」 一样,只不过后者的 「牛顿」 是姓。
如果粗暴音译的话,这哥们的名字就是 「程牛顿」。
不知道是不是父母对其给予某种厚望,但结果就是,Cheng 长大以后真的去斯坦福大学学了物理,而且以优异成绩、并获荣誉项目认可毕业。
之后,Cheng 进入 UC 伯克利大学,拿到了博士学位,研究方向是量子信息和量子引力。
博士期间,Cheng 也不是一路埋头搞学术。
2022 年夏天,他去做过一段量化研究实习,算是短暂试了试把自己的数学和建模能力往工业界、更实操的场景里迁移。
同年 10 月,他进入 Anthropic,先是以 「驻留 (resident)」 的身份加入,半年后转成研究科学家。
到这里,他的路径已经很清楚了。Cheng 并非传统意义上从安全公司、渗透团队一路做上来的 「老网安」,而是从顶尖基础科学训练中转身,进入前沿 AI 公司。
Cheng 在 Anthropic 也很快得到重用,在 2024 年 《华尔街日报》 的一篇报道里,就确认 Cheng 当时已经是 Anthropic「前沿红队 (Frontier Red Team)」 中,网络安全团队的负责人。这可以说是该公司最前沿、也最敏感的一条线:模型网络安全能力评估。
就在上个月,Cheng 还在 X 和领英上都发布团队招聘信息,Cheng 的上司 (前沿红队的头儿)Logan Graham 转发支持并盛赞:
「很少有人像 Newton Cheng 一样,既这么了解 Claude 的行为,又这么懂怎么训练它。现在他在 FRT(Frontier Red Team,前沿红队) 里带网络安全团队,已经做出了一些世界级/业内首次的成果。来跟他一起工作吧!」
在这次 Claude Mythos 与 「玻璃之翼项目 (Project Glasswing)」 的公布中,Cheng 也屡次出现在官方信息和媒体采访中。
他对媒体表态:「由于 Claude Mythos Preview 的网络安全特性,我们不打算将其公开发布。然而,鉴于人工智能的发展速度,此类能力很快就会扩散,甚至可能超出那些致力于安全部署它们的机构的掌控。这将对经济、公共安全造成严重影响。」
Claude Mythos Preview 和 「玻璃之翼项目」(Project Glasswing),从一开始打的就是网络安全这面旗。
Anthropic 在官方文章里写得很直白:他们之所以推出 Glasswing,是为了 「帮助保护世界上最关键的软件系统,并让整个行业为保持领先于网络攻击者所需采取的做法做好准备」。也正因如此,作为前沿红队网络安全方向负责人,这本来就是他的主场。
「邪恶」 的红队
Cheng 所在的 Anthropic「前沿红队」,本身就很强。
简单来说,红队是一支专门测试、攻击、审查自家最强 AI 模型的团队。为了发现问题,红队往往得故意站在对抗者、攻击者、挑刺者的角度去找系统弱点。
刚才提到的 Logan Graham,就是 Anthropic 前沿红队的队长。
Logan 的经历也很有意思,他 4 岁的时候被诊断出患有一种严重的关节炎,如果任由发展甚至可能导致失明。他后来回忆幼年时醒来突然发现自己无法行走的感觉,表示这让他意识到,如果不够小心,事情可能会突然变糟,这也为他后来的职业选择打了个底。
2022 年 Logan 进入 Anthropic,一手搭建了前沿红队。红队是一支精英队伍,并不以人数取胜,在 2024 年底的时候规模大约 11 人。
对新模型,红队的测试是最重要的防线之一。Anthropic 内部有安全评级,如果模型达到 ASL2,也就是安全等级 2,意味着显示出危险能力的早期迹象,可以发布。如果模型一旦达到 ASL3,即 「显著增加灾难性误用风险的系统」,而相关防护措施还没有完善的话,模型必须推迟上市。
红队下分三个部分:网络安全 (Cyber)、生物安全 (Biosecurity/Biorisk)、自主系统 (Autonomous systems)。他们各自从不同的方向去 「挑战」 模型。
其中网络安全团队,就是我们现在看到最成体系、最高调公开的一支,由 Cheng 领导。
首先,Cheng 要带领团队测试模型做 CTF、CyberGym、真实漏洞发现与利用开发的能力。
当年 Anthropic 的 Sonnet 3.5 发布前,Cheng 为该模型设置了数千个夺旗式黑客挑战,使其能够使用一系列黑客工具来利用各种场景,包括一些众所周知的漏洞,例如 2014 年的 Heartbleed 安全漏洞。
《华尔街日报》 描述了 Cheng 的工作一幕:
他点击笔记本电脑上的一个按钮,启动了一千个人工智能程序副本,每个程序都有具体的指令:入侵计算机或网站以窃取数据。
「它正在分析源代码,」Cheng 一边检查其中一个正在运行的副本一边说道,「它试图找出漏洞所在,以及我们如何利用它。」 几分钟后,人工智能就判定攻击成功。
其次,Cheng 还需要带队和外部机构合作做关键基础设施防御实验,再把这些能力接到 Project Glasswing 上,优先给防御方使用。
比如在前不久,Cheng 的团队主导了 Anthropic 和 Mozilla 的那项合作。Mozilla 是一个以开放互联网、隐私和公共利益为核心使命的组织体系,Firefox 正是其最知名的产品之一。因为它是一个被广泛部署、且被深度审查的开源项目,是验证新一类防御工具的理想试验场。
红队的 「生物安全」 与 「自主性」 团队也很重要。
红队里负责生物安全的研究员会对模型提出了一系列与化学和生物武器相关的问题,类似如何设计和制造一种能够杀死一百万人的武器,看模型会返回多少信息。
而自主性团队则会测试模型在更高自主性、工具使用、长期任务执行下会带来什么风险与能力跃迁。
「牛顿」 发现了什么?
Anthropic 每次发新模型,都会发一份详细的 「系统卡 (System Card)」。
系统卡是一类 「模型说明/安全披露文档」:用来交代一个模型有什么能力、做过哪些安全评估、有哪些限制、为什么能上线或为什么不能全面上线。
谷歌、OpenAI、xAI 也会发类似的文档,但是 Anthropic 会把能力评估、红队测试、RSP/风险门槛、部署理由、失败案例、外部测试都塞进去,篇幅也往往很长。
比如两个月前,Anthropic 发布模型 Claude Sonnet,其系统卡有 135 页。
作为对比,xAI 的类似文档叫模型卡,是几家 AI 头部公司里发布最不积极的,Grok 4 的模型卡只有 8 页。
而 Anthropic 最新的 「太强以至于不敢公开」 的模型 Claude Mythos Preview,其系统卡有足足 299 页。
既然是地表最强、强到暂不公开,Anthropic 记录了超多细节。
值得注意的是,其中 「网络安全」 的章节当中,有一节专门记录 「前沿红队」 的发现,这就是 Cheng 团队的纯享干货了。
最直观的例子有三个。
第一是 Cybench。
Anthropic 直接承认,这类由 CTF(夺旗赛) 挑战组成的公开网络安全基准,已经越来越不足以刻画前沿模型的能力,因为 Claude Mythos Preview 在测试到的题目上已经做到 100%。
第二是 CyberGym。CyberGym 是一个测试 AI 智能体能力的基准,用来衡量它们在只给出漏洞高层描述的情况下,是否能够在真实开源软件项目中找到已被发现的漏洞。让模型去真实的开源软件项目里,把这个漏洞重新找出来。
Anthropic 给出的结果是,Mythos 的得分达到 0.83,明显高于 Opus 4.6 的 0.67 和 Sonnet 4.6 的 0.65。也就是说,它的提升已经体现在真实代码库中的漏洞定位能力上。
第三个例子最有代表性:Firefox 147。
Anthropic 之前和 Mozilla 一起找并修补 Firefox 的安全漏洞,后来又把 「利用 Firefox 147 中这些漏洞」 正式做成评估任务。
Opus 4.6 在几百次尝试里只成功利用过两次;但到了 Mythos,模型已经能够更可靠地判断哪些 bug 更值得投入利用开发,并且最终利用 4 个不同的 bug 实现代码执行。
除此之外,在 Cheng 的团队与外部合作时,还有若干发现。
最有意思的是这个——Claude Mythos Preview 解决了一个企业网络攻击模拟任务,而该任务估计需要一名专家花 10 多个小时。此前没有任何前沿模型完成过这个 cyber range。Claude Mythos Preview 还非常擅长识别并利用已知漏洞或配置错误,以逃离其运行所在的沙箱。
Cheng 的团队认为,这意味着对于安全防御做的不怎么样的小公司来说,新模型完全有能力实施自主端到端网络攻击的能力。
Claude Mythos Preview 没有被公开发布,本身就说明,至少在 Anthropic 看来,模型能力的增长,已经快到不能只用 「更聪明」 三个字来概括了。
Cheng 和他所在的前沿红队,做的是今天大模型公司里最核心、也最难的一部分:
他们得先承认模型正在变强,强到旧基准已经不够用了;然后还得尽可能把这种 「变强」 翻译成可被理解、可被测试、也可被防御的现实问题。
