上周,Anthropic发布了一份报告,标题很低调,但内容炸裂——
他们的Mythos模型,在一个月内自动发现了超过10000个高危漏洞。
这个数字是什么概念?
按照传统人工代码审计的速度,一个资深安全工程师一天大概能审查1000-2000行代码,发现3-5个漏洞。10000个漏洞,用传统方式,需要一个上百人的安全团队干上一整年。
Mythos用了一个月。
而这,只是冰山一角。
一个让华盛顿"吓尿"的AI模型
事情是这样的:
Anthropic一直在用他们的Mythos类模型做"AI自动找漏洞"的实验,项目代号Glasswing。
这个模型的能力有多强?强到美国国土安全部(DHS)专门开了紧急闭门会议,英国国家网络安全中心(NCSC)给各大银行发了紧急通报,新西兰的网络安全机构直接派人去美国"取经"。
强到Politico的标题直接写:"正在震动华盛顿的AI模型"。
强到纽约时报发出感慨:"AI时代最抢手的工作,居然是网络安全工程师"。
这三个信号放在一块,你就知道这事不简单。
问题的本质:AI让攻击变得太容易了
很多人看到"AI找漏洞",第一反应是"好事啊,AI帮我们修bug"。
但稍微想一下,你就知道问题在哪。
会找漏洞的人,也会利用漏洞。
Mythos能一个月挖出10000个漏洞,意味着什么?
意味着如果这些漏洞被恶意利用,攻击者可以用同样的方式,在极短时间内对大量目标发起攻击。而防御的速度,根本追不上发现的速度。
打个比方:原来小偷作案,需要自己踩点、自己研究锁的结构、自己动手。现在AI把这一切都自动化了,锁的结构刚被研究出来,攻击就已经完成了。
这就是为什么 Palo Alto Networks 的测试报告里用了"前所未有的速度"来形容AI驱动的网络攻击。
华盛顿的应对:招募更多网络安全人才,但供需已经失衡
面对这个局面,美国政府的应对思路很直接:多招人。
国土安全部在加快网络安全人才的招募,NCSC在给金融机构做紧急培训,各大科技公司开出的安全工程师薪资已经超过了AI研究员。
但问题来了:
需求在爆炸,供给在短路。
纽约时报的报道提到了一家叫 Heidrick & Struggles 的高端猎头公司,他们的安全业务咨询量在过去半年翻了3倍。客户不只是科技公司,还有金融机构、医疗机构、能源基础设施——所有手里有数据的人,都在抢安全人才。
一个初级安全工程师的年薪,在过去18个月里涨了45%。资深专家的薪资,已经不输给AI研究员了。
冷知识:2026年最好找工作的专业,不是计算机,是网络安全。
对普通人意味着什么?
我知道很多人看到这里会觉得:这是大公司和大国的事,跟我有什么关系?
关系大了。
第一,你的数据比以前更不安全了。攻击成本降低,攻击数量上升,你注册过的每一个平台,被黑的概率比以前高了。
第二,AI安全会成为一个新的职业方向。如果你在选专业或者转型,网络安全是一个值得认真考虑的方向。需求旺盛、薪资上涨、而且AI也在帮助攻击者进化——防御侧的战争才刚刚开始。
第三,投资网络安全赛道。CrowdStrike、Zscaler、Palo Alto Networks这些安全公司的股价,在过去一年整体跑赢了科技板块。资本已经在用脚投票了。
一个细思极恐的细节
最后说一个很多人忽略的细节。
Anthropic的这份报告里提到,Mythos发现的10000+漏洞里,只有一小部分被修复了。
大部分还在那儿等着被利用。
这意味着什么?
意味着今天的互联网基础设施里,藏着一颗定时炸弹。而AI既发现了炸弹,又让制造炸弹变得更容易了。
人类第一次面对这样的局面:发现问题和解决问题之间,出现了巨大的时间差,而这个时间差正在被攻击者利用。
这不是危言耸听。这是2026年的新常态。
黑客网络安全学习路线
(一)第一阶段:网络安全筑基
1. 阶段目标
你已经有运维经验了,所以操作系统、网络协议这些你不是零基础。但要学安全,得重新过一遍——只不过这次我们是带着“安全视角”去学。
2. 学习内容
**操作系统强化:**你需要重点学习 Windows、Linux 操作系统安全配置,对比运维工作中常规配置与安全配置的差异,深化系统安全认知(比如说日志审计配置,为应急响应日志分析打基础)。
**网络协议深化:**结合过往网络协议应用经验,聚焦 TCP/IP 协议簇中的安全漏洞及防护机制,如 ARP 欺骗、TCP 三次握手漏洞等(为 SRC 漏扫中协议层漏洞识别铺垫)。
**Web 与数据库基础:**补充 Web 架构、HTTP 协议及 MySQL、SQL Server 等数据库安全相关知识,了解 Web 应用与数据库在网安中的作用。
**编程语言入门:**学习 Python 基础语法,掌握简单脚本编写,为后续 SRC 漏扫自动化脚本开发及应急响应工具使用打基础。
**工具实战:**集中训练抓包工具(Wireshark)、渗透测试工具(Nmap)、漏洞扫描工具(Nessus 基础版)的使用,结合模拟场景练习工具应用(掌握基础扫描逻辑,为 SRC 漏扫工具进阶做准备)。
(二)第二阶段:漏洞挖掘与 SRC 漏扫实战
1. 阶段目标
这阶段是真正开始“动手”了。信息收集、漏洞分析、工具联动,一样不能少。
熟练运用漏洞挖掘及 SRC 漏扫工具,具备独立挖掘常见漏洞及 SRC 平台漏扫实战能力,尝试通过 SRC 挖洞搞钱,不管是低危漏洞还是高危漏洞,先挖到一个。
2. 学习内容
信息收集实战:结合运维中对网络拓扑、设备信息的了解,强化基本信息收集、网络空间搜索引擎(Shodan、ZoomEye)、域名及端口信息收集技巧,针对企业级网络场景开展信息收集练习(为 SRC 漏扫目标筛选提供支撑)。
漏洞原理与分析:深入学习 SQL 注入、CSRF、文件上传等常见漏洞的原理、危害及利用方法,结合运维工作中遇到的类似问题进行关联分析(明确 SRC 漏扫重点漏洞类型)。
工具进阶与 SRC 漏扫应用:
-
系统学习 SQLMap、BurpSuite、AWVS 等工具的高级功能,开展工具联用实战训练;
-
专项学习 SRC 漏扫流程:包括 SRC 平台规则解读(如漏洞提交规范、奖励机制)、漏扫目标范围界定、漏扫策略制定(全量扫描 vs 定向扫描)、漏扫结果验证与复现;
-
实战训练:使用 AWVS+BurpSuite 组合开展 SRC 平台目标漏扫,练习 “扫描 - 验证 - 漏洞报告撰写 - 平台提交” 全流程。
SRC 实战演练:选择合适的 SRC 平台(如补天、CNVD)进行漏洞挖掘与漏扫实战,积累实战经验,尝试获取挖洞收益。
恭喜你,如果学到这里,你基本可以下班搞搞副业创收了,并且具备渗透测试工程师必备的「渗透技巧」、「溯源能力」,让你在黑客盛行的年代别背锅,工作实现升职加薪的同时也能开创副业创收!
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:全网最全的网络安全资料包需要保存下方图片,微信扫码即可前往获取!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取