Anthropic 于 4 月 7 日宣布推出 Mythos Preview，随后表示不会发布该版本。该模型发现了数千个此前未知的漏洞，在无需人工干预的情况下构建了可运行的漏洞利用链，并揭露了 OpenBSD 中那些历经 27 年人工审查仍未被发现的漏洞。

你早就知道这一点了。几周来，你的收件箱里充斥着相关信息。大家都在讨论Mythos对攻击面意味着什么。

几乎没有人讨论这对可恢复性意味着什么。

这就是我们需要进行的讨论，因为它将同时改变董事会讨论、预算讨论和保险讨论的方向。

Mythos 并非孤例。在 Mythos Preview 发布公告的五个月前，Anthropic就曾披露过首起由人工智能策划的间谍活动。 一个与中国政府有关联的组织利用 Claude Code 作为行动引擎，将约 30 家机构作为攻击目标。其中 80% 至 90% 的工作由该 AI 自主完成。在此之前的两个月，Anthropic 还记录了一名网络犯罪分子利用 Claude Code 对政府、医疗保健及应急服务领域的 17 家机构实施数据勒索活动。

Anthropic预计，其他实验室将在6到18个月内具备同等水平的攻击能力。而艾伦·图灵研究所的研究人员则指出，一旦类似能力进入公共生态系统，受控模型便会迅速被复制、修改或解除审查。

如果你在提交给董事会的材料中，仍将前沿人工智能视为未来的威胁，那么是时候更新那些PPT幻灯片了。这项技术已经存在，唯一的不确定性在于其普及的时间表。

Mythos 的回应存在盲点

关于“Mythos”事件后的讨论，其走向可谓意料之中。如果人工智能缩短了攻击时间线，防御方就需要借助人工智能加速检测、加快预警速度，并采取更多自动化响应措施。

就其本身而言，这种逻辑是正确的。检测很重要。速度也很重要。这种建议并没有什么新意。

但讨论的重点主要围绕两个变量展开：攻击者行动的速度有多快，以及防御者发现攻击的速度有多快。其背后的基本假设是，缩小检测差距才能确保企业生存。

我们曾亲眼目睹这一假设被推翻。

Fenix24 的恢复团队曾目睹一些拥有成熟安全运营中心（SOC）、强大的端点检测与响应（EDR）覆盖范围以及快速检测能力的组织，仍会陷入长达数周的瘫痪状态。尽管检测机制按预期运行，但 Active Directory 仍遭破坏，备份文件被加密，依赖关系链不明，且无人能确切指出哪些系统应优先恢复，或恢复过程将耗时多久。

英国人工智能安全研究所（AISI）对Mythos进行了独立评估，发现该模型在10次尝试中有3次成功完成了32步的企业网络入侵模拟，这一基准成绩是此前任何模型都未曾达到的。AISI还指出，这些评估是在简化环境中进行的，未设置分层防御措施，也没有人工干预。

布鲁斯·施奈尔将Mythos称为“既不可避免也不令人意外”，并指出其中的真正教训并未改变。组织机构仍然需要完善的架构、最小权限原则、规范的文档记录以及持续的测试。贝恩也表达了类似的观点，他指出AISI自身的测试发现，Mythos无法对经过充分加固的防御系统发起可靠的自主攻击，因此大多数企业应首先着手解决旧有的问题。

他们说得对……但还有一点关键内容缺失。

恢复。

检测能告诉你发生了什么。恢复则决定了业务能否恢复正常。业界一直将这两者视为独立的问题。但在实际事件中，它们是同一事件的两个连续阶段。多年来，与第一阶段相比，第二阶段的资金投入和测试力度一直不足。

严苛的环境会增加攻击者的成本，但如果您的恢复能力未经检验，您可能要等到最糟糕的时刻才会意识到自己究竟身处哪一边。

再也不能指望经济复苏会自行好转了。

三种对话方式变得更简单了

当前形势为恢复性投资创造了绝佳的契机，其市场接受度之高是近年来罕见的。这些正是当下应当重点推进的议题。

董事会讨论

董事会过去常问：“我们的工具能否检测到攻击？”如今他们想知道的是：“业务能否恢复？”

这一转变为一场大多数安全项目一直回避的讨论创造了契机。大多数安全团队能够报告检测指标，但能以同样的信心报告恢复指标的团队却少之又少。

如果您从未在真实场景下（例如 Active Directory 遭入侵、备份系统成为攻击目标、通信受阻）测试过恢复时间，请如实说明并提出测试方案。相比在实际事件发生时才发现漏洞，董事会更倾向于接受“我们已发现这一漏洞，并提出了解决方案”的报告。

关于保险的谈话

网络保险承保商越来越关注恢复能力，而不仅仅是预防性控制措施。申请问卷开始深入询问备份的容灾能力、经过测试的恢复时间目标（RTO）以及恢复顺序。

如果您能证明系统具备经过验证的可恢复性（包括不可变备份、经过验证的恢复流程、映射的依赖关系以及可量化的恢复时间），那么在承保范围、保费和免责条款方面，您将占据更有利的地位。若无法证明，保险公司的精算师会将这种不确定性计入您的保单定价中。

此外，多家保险公司正逐步将“恢复测试证明”作为承保条件，而不仅仅是“备份流程证明”。如果您的保单即将续保，一份经过测试的恢复报告比仪表盘上显示的“绿色”状态更有价值。

关于监管的讨论

美国证券交易委员会（SEC）的披露规则已要求在四个工作日内报告重大的网络安全事件。当系统瘫痪且信息不完整时，您能多快确定事件是否重大？

DORA（适用于所有涉及欧盟金融行业的机构）的要求更为严格，要求组织通过基于情景的测试来证明其数字运营韧性。恢复能力已被明确写入法规，而非仅作为隐含要求。

各司法管辖区的监管方向已十分明确。监管机构正从“你们是否有应急预案？”转向“你们是否进行了测试，并能证明测试结果？”一份从未经过验证的书面恢复到运营状态（RTO）计划，不仅会成为运营风险，更会演变为合规风险。

接下来会发生什么？

Mythos之后的新机型在各方面都将更胜一筹。

这是过去三年里每家前沿实验室都公布过的发展轨迹，而Mythos的种种迹象表明，这条曲线丝毫没有趋于平缓的迹象。Anthropic选择不公布这一数据。下一家达到同等能力的实验室可能会做出不同的选择。或者，这项能力会泄露出去。又或者，它会被独立复现。关于“遏制”的问题固然值得关注，但这并非那个会让你夜不能寐的问题。

当攻击能力变得司空见惯且自动化时，你必须自问：“一旦我们遭到攻击，会发生什么？”

能够顺利度过这一阶段的组织，正是那些将恢复工作视为一门工程学科，并以与检测和响应工作同样的严谨态度对待它的组织。这正是关键所在。事实上，一直以来都是如此。Mythos 和 Frontier AI 只是消除了人们不采取行动的最后一个合理借口。

后“神话”时代的韧性与复苏

在实际攻击中，关于弹性与恢复能力的大多数假设都会失效。

• “不可变备份”结果证明终究并非不可变。
• 不仅数据会遭到破坏，基础设施也会遭到破坏。
• 资产和依赖关系映射不充分会导致数天甚至数周的停机时间。
• RTO 和 RPO 并不切实际。

在探讨韧性未来时，分析师们已将所有观点娓娓道来。想要获取构建和实施真正网络韧性的蓝图吗？请下载Omdia最新发布的技术验证报告《借助Fenix24构建和实施韧性》。

在发生数据泄露前，先弄清楚自己的处境

Fenix24 基于我们在 1,000 多起数据泄露事件中观察到的规律，构建了我们的评估体系、工具集以及网络弹性计划。

我们推出韧性评估服务，是因为标准的安全评估无法解决勒索软件攻击事件中真正关键的问题。您不需要那种仅针对外围防御或检测工具进行“走过场”式的审计。您需要知道的是，您的企业能否挺过最艰难的一天。该评估基于我们的企业级韧性平台 Argos99，可为您提供无与伦比的洞察力，助您全面了解：

备份的生存能力。您的备份能否抵御已绘制环境地图并掌握特权凭据的攻击者？当环境的其他部分遭到破坏时，您能否通过这些备份进行恢复？

依赖关系映射与恢复顺序。您是否有关于各项之间依赖关系的最新模型？恢复顺序是基于这些关系，还是基于无人验证过的假设？

身份基础设施恢复。您能否从头重建 Active Directory？需要多长时间？您的团队能否在压力下完成这一过程？

运营恢复能力。团队能否在通信受阻且信息不全的情况下规划并执行恢复工作？是否有人测量过这需要多长时间？

恢复差距分析。计划在哪些环节出现问题？哪些差距带来的风险最大？应该优先解决哪些问题？

准备好测试您的业务恢复能力了吗？立即预约韧性评估。请致电 423.305.7890 或发送电子邮件至info@fenix24.com 联系我们。