AI网络攻击能力每4个月翻倍:Anthropic Mythos与GPT-5.5突破32步企业渗透测试
英国AI安全研究所(AISI)2026年4月发布的一份评估报告,首次以量化数据证实了一个此前只在理论推演中出现的场景:前沿AI模型的网络攻击能力正在以每4个月翻倍的速度指数增长。
这一速度较2025年底的7个月翻倍周期进一步加速。报告发布当月,两款顶尖模型相继通过了AISI设计的32步企业网络渗透测试——这一测试通常需要人类红队专家投入20小时才能完成。
两款模型通过”The Last Ones”测试
Anthropic Claude Mythos Preview:首款突破者
Anthropic的Claude Mythos Preview成为首个通过AISI 32步”The Last Ones”(TLO)企业网络模拟攻击范围的模型。
测试覆盖从初始侦察到最终全域控制的完整攻击链。Mythos在10次运行中成功完成3次端到端渗透,在专家级任务上保持73%的成功率。
关键局限:AISI明确标注测试环境缺少主动防御层和防御工具。这意味着评估结果证明的是攻击能力本身,而非针对加固目标的有效性。
OpenAI GPT-5.5:三周后追平
GPT-5.5在Mythos通过后仅三周发布评估结果,展现出近乎相同的能力画像:10次运行中2次完成端到端渗透,专家级任务成功率71.4%。
同样携带”防御方缺失”的标注,但核心信号已经足够清晰:前沿网络攻击AI的能力收敛速度正在加快,头部模型之间的能力差距正在缩小。
doubling every four months 意味着什么
AISI将前沿网络攻击能力的增长曲线从2025年底的7个月翻倍周期,修正为当前的4个月。这一修正基于实际测试数据,而非理论外推。
| 时间节点 | 前沿网络攻击能力翻倍周期 |
|---|---|
| 2025年底 | 约7个月 |
| 2026年4月 | 约4个月 |
如果这一速度维持,意味着:
- 2026年Q3:下一款模型可能再次突破现有测试范围
- 2026年底:当前测试框架可能不再能区分不同模型的能力差异
- 2027年中:AI自主网络攻击能力可能达到人类顶尖红队水平
AISI的评估措辞直白:“当前基准测试已无法在没有引入对抗性防御层的情况下区分前沿模型。“
测试设计的局限与真实世界距离
AISI对测试局限的坦诚值得注意:
- 无主动防御:TLO范围缺少实时防御响应,不等于真实企业环境
- 标准化场景:真实攻击面对的是异构架构、遗留系统和人为干扰
- 单点突破 vs 持续驻留:测试衡量的是渗透完成度,而非长期隐蔽和横向移动
这些局限意味着,当前数据高估了AI在真实对抗环境中的效能,但同时也低估了AI在辅助人类攻击者时的协同潜力。
行业与政策反应
模型访问限制收紧
Fox News与Forbes报道显示,Anthropic已对Mythos级别的网络安全模型实施访问限制。部分能力可能不再对普通开发者或企业用户开放。
这意味着一个结构性转变:前沿AI能力不再默认向公众开放,而是分层管理。
监管框架滞后
当前监管基础设施尚未准备好应对以下场景:
- 公开可用的AI Agent在公开市场上执行攻击任务
- 国家级行为者利用公开模型对关键基础设施进行侦察
- AI辅助的供应链攻击自动化
Project Deal的实验提供了参照:Anthropic的69个Agent在内部分类市场中完成了186笔Agent间交易。将这一模式迁移到真实衍生品或预测市场,技术门槛正在以月为单位下降。
对安全团队与企业的实际影响
防御方需要重新评估的假设
| 旧假设 | 新现实 |
|---|---|
| AI攻击是远期威胁 | 能力翻倍周期4个月,已进入短期窗口 |
| 前沿模型对所有人平等开放 | 访问分层正在形成,但开源模型快速追赶 |
| 人类红队足够应对 | 需要人机协同防御,纯人工响应速度已不足 |
| 合规等于安全 | 合规框架设计时未考虑Agent自主攻击 |
安全团队应立即采取的三项措施
-
引入AI辅助防御工具
如果攻击方使用AI,防御方必须使用AI。人工-only的安全运营中心(SOC)响应速度已无法匹配自动化攻击节奏。
-
重新设计攻击面管理
假设攻击者拥有接近人类红队的AI辅助能力,重新评估外部暴露面。传统的”扫描-修复”周期需要压缩。
-
建立AI使用审计日志
内部AI使用需要完整日志记录,包括模型版本、输入输出摘要和决策链。这不仅是合规要求,也是事后归因的基础。
前沿实验室的资本军备竞赛
网络攻击能力突破发生在空前资本涌入的背景下:
- OpenAI:$122B融资,投后估值$852B,由Amazon、Nvidia、SoftBank、Microsoft锚定
- Anthropic:$40B追加投资(Google),$5B(Amazon,附带$100B AWS消费承诺),与Google和Broadcom的芯片供应协议 reportedly 价值数百亿美元,月末 reportedly 谈判新一轮$50B融资,估值$900B
这些数字意味着前沿实验室已从”研究组织”转变为”基础设施公司”。它们的产出——包括模型能力——正在以工业规模被生产和部署。
接下来值得关注的四个信号
-
下一款AISI网络范围测试结果是公开还是受限
如果结果仅在”已审核防御者”渠道内发布,标志着双重用途能力管理模式的正式转变。
-
中国开源模型是否在网络攻击基准上取得突破
当前中国在SWE-Bench Pro编码基准上已达西方同等水平。网络安全能力是否同步跟进,将改变全球威胁评估格局。
-
云服务提供商是否统一 hosting 所有前沿模型
Microsoft-OpenAI协议已从独家转为非独家。如果AWS、Google、Oracle都hosting所有前沿模型,平台差异化逻辑将被改写。
-
首次国家级行为者使用公开Agent攻击公开市场的时机
这不是是否的问题,是何时的问题。监管基础设施准备度是关键变量。
结论:从”是否可能”到”如何管理”
2026年4月的评估数据终结了一个争论:AI驱动的网络攻击不再是远期前景,而是当前能力。
真正的问题已经转变:
- 不是”AI能否自主完成网络攻击”,而是”如何在公开能力、防御准备和监管框架之间建立平衡”
- 不是”哪家模型更强”,而是”能力翻倍周期是否会给防御方留出足够响应时间”
- 不是”是否限制模型访问”,而是”限制能否在实际操作中有效执行而不被开源替代方案绕过”
对企业安全团队而言,最直接的行动是:假设攻击方已拥有AI辅助能力,重新设计防御节奏和响应流程。等待更明确的信号,可能意味着等待时间过长。
来源: UK AI Security Institute 2026-04;The Washington Post 2026-05;Fox News 2026-05;Forbes 2026-05