Claude Mythos 发现 500 多个零日漏洞:自动化安全检查
人择\
2026 年 4 月 7 日,Anthropic 宣布了 Claude Mythos 预览版。 在几天的内部测试中,它发现了超过 500 个 全球一些最受审查的代码库中存在高严重性漏洞:16 岁出界 用FFmpeg编写,OpenBSD中27年的拒绝服务,以及FreeBSD中的远程代码执行 17 年来一直未被发现 (CVE-2026-4747)。
您无权访问 Mythos。 Anthropic 将其限制为 Project Glasswing 合作伙伴:AWS、Apple、Google、 Microsoft、Nvidia、CrowdStrike 以及其他一些公司。 但信息很明确:如果人工智能能够发现隐藏在其中的错误 代码库经过模糊器数百万次测试,您的基础设施也存在差距。
这篇文章涵盖了您现在可以通过 API 调用自动执行的六项安全检查。 无需神话访问权限。 每个
一个人需要一个 curl 命令并返回结构化 JSON,您可以通过管道传输到警报、仪表板或
CI 管道。
Mythos 发现了什么(以及为什么它对您的堆栈很重要)
传统的模糊器在代码中抛出随机输入。 关于源代码(如证券)的神话解读和推理 研究员。 它跟踪 Git 提交历史记录,识别不完整的补丁,并构建跨越的漏洞利用链 多个漏洞。
| 项目 | 错误类型 | 年龄 | 细节 |
|---|---|---|---|
| FFmpeg H.264 编解码器 | 越界写入 | 16年 | 切片编号冲突; 模糊器击中线路 500 万次而不触发 |
| OpenBSD TCP/SACK | 拒绝服务 | 27年 | 有符号整数溢出 + NULL 指针取消引用; 远程使任何机器崩溃 |
| FreeBSD NFS | 远程代码执行 | 17年 | CVE-2026-4747; RPCSEC_GSS 身份验证中堆栈缓冲区溢出,无需身份验证 |
| 幽灵脚本 | 堆栈边界绕过 | 几十年 | 字体处理中的边界检查不完整; 镜像先前修补的路径 |
| CGIF | 缓冲区溢出 | 年 | LZW字典重置导致输出超过输入大小; 100% 代码覆盖率错过了 |
费用? 花费不到 20,000 美元即可找到 OpenBSD 错误。 FFmpeg 漏洞的损失不到 10,000 美元。 这比 一周的手动渗透测试。
现在您无法针对自己的代码运行 Mythos。 但你可以弥补不需要深度二进制的差距 分析:证书过期、缺少电子邮件身份验证、安全标头薄弱以及静默停机。
检查 1:SSL 证书过期
过期的 SSL 证书会导致中断并破坏用户信任。 Stripe、微软和 Spotify 都曾 与证书相关的事件。 一次 API 调用即可告诉您还剩多少天。
curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"issuer": "Let's Encrypt",
"valid_from": "2026-02-01T00:00:00.000Z",
"valid_to": "2026-05-02T00:00:00.000Z",
"days_remaining": 23,
"expired": false,
"expiring_soon": true
}
}
这 expiring_soon 标志翻转到 true 当证书在 30 天内
到期。 将其传递到 Slack 警报或 CI 检查中。
检查 2:SPF 记录验证
配置错误的 SPF 记录意味着攻击者可以欺骗来自您域的电子邮件。 神话公告提醒 每个人都知道安全性超越了代码:您的 DNS 配置也是一个攻击面。
curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"has_spf": true,
"record": "v=spf1 include:_spf.google.com ~all",
"issues": [
"SPF record uses ~all (softfail) instead of -all (hardfail)"
],
"score": "B"
}
}
端点捕获的常见问题: ~all 而不是 -all, DNS 查询次数过多
(超过 10 次查找限制),并且缺失 include: 针对第三方发件人的指令。
检查 3:DMARC 政策
如果没有 DMARC,您的 SPF 和 DKIM 检查就无法执行。 攻击者将欺骗性电子邮件传递到收件箱 跳过验证。
curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'
寻找 policy: "reject" 在回应中。 少一点(none 或者
quarantine) 意味着来自您域的欺骗性电子邮件仍然可以到达收件箱。
检查 4:DKIM 选择器
DKIM 使用加密密钥签署外发电子邮件。 如果没有它,接收服务器将无法验证电子邮件内容 在运输过程中没有被篡改。
curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com", "selector": "google"}'
传递您的电子邮件提供商使用的选择器(Google 使用 google,微软使用
selector1 和 selector2)。 端点验证公钥是否存在且正确
格式化。
检查 5:HTTP 安全标头
缺少标题,例如 Strict-Transport-Security, X-Content-Type-Options, 和
Content-Security-Policy 让您的应用程序容易遭受降级攻击、MIME 嗅探和 XSS。
curl -s -X POST https://api.botoi.com/v1/headers \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'
响应包括 security_headers 显示哪些标头存在、哪些标头缺失的对象,
以及它们包含什么值。 将此检查添加到您的部署管道中以捕获回归。
检查 6:正常运行时间和响应时间
如果您的网站瘫痪了,其他一切都不重要了。 快速正常运行时间检查可确认您的应用程序响应、测量延迟、 并捕获重定向循环或意外的状态代码。
curl -s -X POST https://api.botoi.com/v1/uptime/check \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'将所有六个合并为一个审核脚本
使用单个 bash 脚本对任何域运行所有六项检查。 另存为 audit.sh, 做到
可执行文件,并将您的域作为参数传递。
#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"
echo "Security audit for \$DOMAIN"
echo "=========================="
# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'
# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'
# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'
# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'
# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'
echo "\\nAudit complete."Node.js 与 Botoi SDK
如果您更喜欢 TypeScript, @botoi/sdk 包以完全类型安全的方式并行运行所有检查。
import Botoi from "@botoi/sdk";
const botoi = new Botoi(); // no key needed for free tier
async function auditDomain(domain: string) {
const [ssl, spf, dmarc, headers] = await Promise.all([
botoi.sslCert.expiry({ domain }),
botoi.dnsSecurity.spfCheck({ domain }),
botoi.dnsSecurity.dmarcCheck({ domain }),
botoi.headers.check({ url: \`https://\${domain}\` }),
]);
const issues: string[] = [];
if (ssl.data.days_remaining < 30) {
issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
}
if (!spf.data.has_spf) {
issues.push("Missing SPF record");
}
if (!dmarc.data.has_dmarc) {
issues.push("Missing DMARC record");
}
if (spf.data.score !== "A") {
issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
}
return { domain, issues, passed: issues.length === 0 };
}
const result = await auditDomain("your-app.com");
console.log(result);使用 GitHub Actions 实现自动化
每次推送时运行这些检查 main 并按每周的时间表进行。 该操作在以下情况下构建失败
SSL 证书在 14 天内到期或 SPF 分数降至 A 以下。
name: Security Audit
on:
schedule:
- cron: '0 9 * * 1' # Every Monday at 9 AM
push:
branches: [main]
jobs:
audit:
runs-on: ubuntu-latest
steps:
- name: Check SSL expiry
run: |
RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
if [ "\$DAYS" -lt 14 ]; then
echo "::warning::SSL certificate expires in \$DAYS days"
exit 1
fi
- name: Check DNS security
run: |
SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
SCORE=\$(echo \$SPF | jq -r '.data.score')
if [ "\$SCORE" != "A" ]; then
echo "::warning::SPF score is \$SCORE, not A"
fi神话给安全团队带来了什么改变
Mythos 在 OSS-Fuzz 语料库中发现了 595 个导致崩溃的输入,而 Opus 4.6 中的输入大约为 150 个。 它开发了 Opus 4.6 管理的 181 个可用的 Firefox 漏洞 2. Anthropic 投入了 1 亿美元的 API 通过 Project Glasswing 向开源安全组织提供信贷和 400 万美元。
结论:人工智能驱动的漏洞发现是有效的。 规模和速度只会增加。 攻击者将 获得类似的功能。 您的辩护不能仅依靠人工审核。
本文中的六项检查不会在您的依赖项中发现 16 年前的缓冲区溢出。 但他们抓住了 导致实际事件的容易发生的故障:过期的证书、欺骗性的电子邮件域、缺乏安全性 标头和无声停机。 今天将它们自动化。 修复返回的内容。 然后担心更深层次的事情。
FAQ
- 什么是 Claude Mythos?我可以使用它吗?
- Claude Mythos Preview 是 Anthropic 于 2026 年 4 月 7 日发布的最新 AI 模型。它在 FFmpeg、OpenBSD 和 FreeBSD 等开源项目中发现了 500 多个高严重性漏洞。 Anthropic 没有公开发布的计划。 访问权限仅限于 Project Glasswing 合作伙伴,包括 AWS、Apple、Google、Microsoft、Nvidia 和 CrowdStrike。
- 克劳德神话发现了什么样的漏洞?
- Mythos 发现了内存损坏错误、缓冲区溢出、堆栈溢出和逻辑缺陷。 值得注意的例子包括 FFmpeg 的 H.264 编解码器中存在 16 年历史的越界写入、OpenBSD TCP 堆栈中存在 27 年历史的拒绝服务错误以及 FreeBSD NFS 中存在 17 年历史的远程代码执行漏洞 (CVE-2026-4747)。
- 我可以使用 API 检查我的域的 SSL 和 DNS 安全性吗?
- 是的。 使用您的域向 https://api.botoi.com/v1/ssl-cert/expiry 发送 POST 请求以检查证书有效性。 使用 /v1/dns-security/spf-check、/v1/dns-security/dmarc-check 和 /v1/dns-security/dkim-check 审核电子邮件身份验证记录。 所有端点无需 API 密钥即可以每分钟 5 个请求的速度运行。
- 如何在 CI 管道中自动执行安全检查?
- 使用curl 或HTTP 客户端从任何CI 系统调用安全端点。 在每次推送或按 cron 计划检查 SSL 过期、DNS 安全记录、HTTP 安全标头和站点可用性。 Botoi API 返回结构化 JSON,因此您可以解析结果并在检查返回警告时使构建失败。
- Glasswing 项目是什么?
- Glasswing 项目是 Anthropic 使用 Claude Mythos 进行防御安全的举措。 合作伙伴包括 AWS、Apple、Google、微软、Nvidia、CrowdStrike、思科、博通、摩根大通、Palo Alto Networks 和 Linux 基金会。 Anthropic 承诺提供高达 1 亿美元的 API 积分,并向开源安全组织提供 400 万美元。
开始使用 botoi 构建
150+ 个 API 端点,涵盖查询、文本处理、图片生成和开发者工具。免费套餐,无需信用卡。