網絡安全領域賴以運轉的時間緩衝正在消失。彭博觀點專欄作家Parmy Olson指出，從軟件漏洞公開披露到可用攻擊工具出現，這一窗口期已從2018年的平均771天驟降至如今不足4小時。Anthropic最新AI模型Mythos的出現，正將這場危機推至公衆視野中央——而其真正的警示，並非專門針對大型銀行，而是對防禦薄弱的廣大中小機構發出的緊急信號。

Anthropic將Mythos定性為"危險到無法發布"，此舉迅速引發連鎖反應。美國財政部長Scott Bessent隨即召集華爾街高管評估系統防禦準備；目前，財政部正尋求直接獲取Mythos訪問權限。率先獲准接觸該模型的英國AI安全研究院（UK AI Security Institute）經評估認為，Mythos在發動複雜網絡攻擊方面的能力，確實超越OpenAI的ChatGPT和谷歌的Gemini等現有工具。

然而，英國AI安全研究院同時指出，Mythos對"防禦薄弱"或架構簡單的系統構成的威脅最大。大型銀行擁有全球頂級的IT安全體系，真正暴露在高風險之中的，是更為廣泛的中小企業、醫院及小型零售商——這些機構既是黑客歷來慣常瞄準的目標，也普遍缺乏快速響應所需的資源與能力。

隨着代理AI（agentic AI）的崛起，漏洞從公開披露到遭到利用之間的窗口期實際上已經消失。Olson認為，這迫使整個行業直面一個尚無答案的根本問題：當漏洞在數小時內即可被武器化，沿用數十年的"負責任披露"機制是否仍然合理，數周乃至數月的補丁部署流程是否還具有實際意義？

大銀行不是最脆弱的一環

Anthropic發布Mythos的方式，率先將外界目光引向了金融業。Olson指出，Scott Bessent的出手，令這家AI公司在IPO前夕獲得了罕見的公衆關注度，同時也引發外界對誰能獲得Mythos獨家訪問權限的質疑。

英國AI安全研究院的評估結論，給部分市場擔憂提供了依據——Mythos的確比其他AI工具更擅長髮動複雜網絡攻擊。但該研究院同時強調，其威脅主要集中於防禦薄弱的目標。大型銀行擁有全球最為嚴密的IT防禦體系，黑客群體歷來傾向於繞開這類目標。

真正面臨嚴峻考驗的，是大量缺乏充分防禦的中小機構。黑客通常不直接攻擊銀行，而是掃描互聯網，鎖定可以實施勒索軟件攻擊的醫院，或防線薄弱的小型商戶。AI能力的提升，使這些機構的處境愈加岌岌可危。

從771天到不足4小時：AI壓縮了窗口期

理解為何AI的崛起如此危險，需要先釐清此前網絡安全的運轉邏輯。Olson解釋，技術行業長期奉行"負責任披露"原則：一旦軟件缺陷被發現，廠商會向公衆公布並附上修復建議，給客戶留出打補丁的時間。微軟的"補丁星期二"（Patch Tuesday）即是典型——這一機制每月定期披露Office 365、Windows等產品中發現的安全漏洞。

Barclays、Wells Fargo等銀行的IT團隊，在收到補丁建議後須經歷兼容性測試、管理層審批、最終部署等多個環節，整個流程通常歷時數周乃至數月。在生成式AI出現之前，這一節奏尚可接受，因為黑客研究並利用已披露漏洞所需的時間，通常比受害方完成修復更長。

但AI已徹底改變了這一等式。即便在兩年前，黑客就可以將漏洞披露詳情粘貼進ChatGPT，指令其掃描GitHub等公開代碼庫，尋找相似的可利用模式。例如，若微軟披露了Office 365處理某類文件的缺陷，聊天機器人不僅能建議具體利用路徑，還能迅速找出Outlook、Teams等產品中的類似弱點。據zerodayclock.com數據，軟件漏洞從公開到可用攻擊工具構建完成的平均時間，已從2018年的771天壓縮至今天的不足4小時。

代理AI：漏洞利用走向全自動化

Olson認為，近幾個月AI能力的最新躍升，使威脅進入了一個更為危險的新階段。AI公司陸續賦予模型"代理"能力，使其能夠自主執行操作，而不僅僅提供建議。Anthropic於今年1月發布的Claude Cowork，已具備自動發送郵件、管理日曆等獨立操作能力。

對於網絡攻擊者而言，這意味着AI工具不再僅僅是尋找漏洞的助手，而是會自動嘗試不同突破路徑，直到某種方法奏效。Mythos更進一步，能夠將多個漏洞"鏈式"串聯，組成多步驟複合攻擊——這一能力此前僅屬於頂尖人類黑客。Olson以入室盜竊作比喻：找到第一扇開着的窗，藉此從內部解開門鎖，再關閉警報系統；每一步單獨看都不足以得手，但串聯起來便可長驅直入。

即便在代理AI普及之前，生成式AI已在悄然重塑黑客的工具箱：聊天機器人被用於優化釣魚郵件，使其更具迷惑性；實時虛擬人生成器製造深度僞造視頻通話，令受害者難辨真僞。代理AI的出現，則進一步將"黑客行為本身"推向自動化，而非僅僅充當輔助工具。

"負責任披露"的邏輯正在瓦解

Olson直接質疑了網絡安全行業長期奉行的核心原則。Anthropic披露Mythos，固然有助於其在IPO前塑造技術神祕感，但Olson指出，這一事件客觀上迫使整個行業面對一個久被迴避的結構性問題：當漏洞披露與遭到利用之間的時間窗口實際上已經消失，"負責任披露"機制的底層邏輯還能否成立？數周乃至數月的補丁部署流程，是否已成為無用之功？

對於大型銀行而言，這一問題至少尚有解題路徑。Olson認為，大型銀行至少擁有足夠的人員儲備和資金，能夠着手探索並逐步實現近實時的補丁部署。

真正懸而未決的，是那些需要以同樣速度行動、卻遠未具備相應能力的中小企業。它們所需要的，既有技術層面的支撐，也有監管框架的介入——而這兩者，市場目前均無法提供。