惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
CXSECURITY Database RSS Feed - CXSecurity.com
Help Net Security
Help Net Security
P
Privacy International News Feed
S
Securelist
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Tor Project blog
AWS News Blog
AWS News Blog
K
Kaspersky official blog
A
Arctic Wolf
Latest news
Latest news
T
Threat Research - Cisco Blogs
L
LINUX DO - 最新话题
P
Privacy & Cybersecurity Law Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
Google DeepMind News
Google DeepMind News
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
月光博客
月光博客
N
News and Events Feed by Topic
Jina AI
Jina AI
博客园 - 司徒正美
WordPress大学
WordPress大学
罗磊的独立博客
雷峰网
雷峰网
AI
AI
Hugging Face - Blog
Hugging Face - Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
S
Security @ Cisco Blogs
博客园 - 三生石上(FineUI控件)
H
Heimdal Security Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
酷 壳 – CoolShell
酷 壳 – CoolShell
C
Cisco Blogs
博客园 - 【当耐特】
The Hacker News
The Hacker News
有赞技术团队
有赞技术团队
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Schneier on Security
Schneier on Security
博客园 - Franky
S
SegmentFault 最新的问题
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Cloudbric
Cloudbric
爱范儿
爱范儿
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
S
Secure Thoughts
Last Week in AI
Last Week in AI
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Know Your Adversary
Know Your Adversary
Google DeepMind News
Google DeepMind News

量子位

硬刚GPT-Image-2!国产AI生图“天花板”又被捅破了? AI自主监测宠物健康,陪狗都不用自己来了!涂鸦Hey Tuya打造全屋智能“超级入口” 燃油SUV车主熬出头了!华为乾崑智驾加持,全新奥迪Q5L率先实现智能化 华人再破硅谷天花板!AI黑马新任CTO,中科大80后 0博士组合拿下ICLR时间检验奖!两个GPT天才本科生+二本逆袭LeCun弟子,十年论文终封神 DeepSeek V4报告太详尽了!484天换代之路全公开 优必选发布Thinker cosmos:加码开发者生态,推动人形机器人走向规模化 DeepSeek-V4发布,华为云首发适配 Mobileye 2026财年一季度营收增长27%,自动驾驶商业化进程持续推进 100%主流车企的共同选择:一个AI“通用底座”正在汽车行业成型 真有人做AI小猫啊?!生产力和情绪价值都拉满了 Coordination Engineering关键一环,JiuwenClaw再发布Team Skills技能新范式 DeepSeek V4终于发布!打破最强闭源垄断,明确携手华为芯片 荣耀WIN游戏本等多款新品正式发布,荣耀PC家族全面爆发 刚刚,GPT-5.5发布!内测英伟达工程师:失去它像被截肢 河南师傅,左手扳手,右手飞书,竟然能搞数据分析! 国内首家百亿估值纯推理GPU独角兽诞生!专访曦望联席CEO王湛:谁的推理成本更低谁就是赢家 印奇站上AI+车浪潮之巅:7个月,千里科技和华为「五五开」 飞书项目开放平台焕新升级,全面迈向“AI Friendly” 半壁华人!GPT Image 2团队曝光:无锡才俊带队,13人4个月封神 Nature封面:机器人乒乓球干翻人类职业选手 特斯拉开源硬件,中国公司回应来了:直接把机器人大脑开源了 “不造车的特斯拉”亮出“舱驾一体”全家桶,汽车长出“主动理解力”,奇瑞比亚迪等10+巨头力挺 科大讯飞发布燎原N30m笔记本,重塑全栈国产AIPC新标杆 神秘模型「大象」:仅100B拿下SOTA,Token效率超高! 香港科创标杆奖项!商汤首席科学家林达华荣获中银香港科创奖 国产多模态Agent拿下医学分割SOTA!不用改模型、不加token 这些人读个博一年能挣几十万?2026苹果学者名单公布了 大厂AI抢人大战,从实习生开始 全球首个世界统一模型发布,机器人家庭成员来了! 从GPU到Token:AI基础设施竞争逻辑重构 2026萤石品牌新品发布会:驭智向前锚定长期主义,AI驱动多点开花 6分钟满电续航1500公里!宁王一夜终结加油时代 单Agent时代结束,AI们开始组团上班 前小鹏汽车自动驾驶一号位李力耘出任众擎CTO,加速打造具身大脑 5月20日,马上AI起来!中国AIGC产业峰会报名已启动|首波嘉宾官宣 物理优先+VLA闭环进化:高德ABot-World世界模型,破解具身智能零样本泛化难题 ISC.AI 2026创新独角兽沙盒大赛在京启动 聚焦智能体 共筑AI创新生态 都让让!赛博女娲蒸馏一切,让乔布斯马斯克集体给你打工 把人类驾驶员赶出机场,复旦大牛校友要港股IPO了 小米宣布上线PC版龙虾,Xiaomi miclaw正式开启PC、Mac、有屏音箱多终端封测 Agent正杀入软件研发一线!全球超60位技术专家拆解AI落地困局,2026奇点智能技术大会收官 Kimi新论文:把KVCache玩成新商业模式了 横扫全球15项SOTA!高德首个面向AGI的全栈具身技术体系大公开 大模型架构的下半场 高德发布全球首个面向AGI的全栈具身技术体系“ABot”:15项SOTA,构建持续进化的具身智能闭环 马斯克来抖音卖老干妈了?? 教龙虾玩手机!打通GUI智能体训练-评测-部署全流程,训练、真机、评测一站解决 黄仁勋都被问毛了:顶级AI厂商在去CUDA?“你的前提就是错的” 王濛代言的方盒子19万开卖,头顶激光雷达,底盘能“预瞄”路况 AI开始接管实验室了!玻尔·跃迁实验室:试剂、设备、数据一个入口搞定,1800+设备即插即用 OpenClaw的风,已经吹进了奶茶圈 11.58万,全系Lidar+L4同源算法,广汽文远把城区NOA打成白菜价 4.55亿美金!中国具身智能最大单笔融资诞生,高瓴红杉联手押注具身大脑 谷歌最强具身大脑发布!波士顿机器狗瞬间人模人样 π0.7发布,VLA押出了机器人的GPT-3时刻 18家具身顶尖势力集结,RoboChallenge 打造全球最大具身模型竞技场 空间智能第一股,开盘暴涨171%!李飞飞押注的赛道,杭州六小龙之一跑通了 ImageNet作者苏昊回国任教复旦!李飞飞高徒,具身第一高引,出任通用物理AI院长 PPIO上线PPHermes:云端沙箱一键部署Hermes Agent 72天,从0到千万小时产能,这个具身「新锐派」凭什么接管数据赛道? 打造全球领先“具身智能超级供应链”,京东发布行业首个具身数据全链路基础设施 世界客商排队体验讯飞AI眼镜,科大讯飞把多语种AI能力带进广交会第一现场 刚刚,机器人练成了宁次的「白眼」:∞帧画面边看边3D重建我们的世界! 宁王飘了!日赚2.3亿,回应比亚迪“闪充”:跟我学的,构不成挑战 腾讯官宣升级AI小程序成长计划,所有小程序都能申请 扔掉你的Token账单吧,荣耀YOYO Claw技术把养虾成本打下来了 Claude实名认证引众怒!强制验证是为了更精准封号 短短3个月,高德已拿下具身智能领域15项世界第一 我用1分钟开发了个上线应用,有阿里Meoo谁还学编程啊 继HappyHorse后,阿里又有一款模型登顶权威评测榜单 具身智能为什么还没真正落地?问题卡在这|沙龙报名 炸奥特曼的人被扒出来了 全球首创16cm极致外扩超级机械臂,MOVA扫地机开启清洁新纪元 百度Create大会官宣三大核心看点,国内最大AI开发者嘉年华5月北京揭幕 北电数智发布星火·AI云2.0,以AI系统工程重塑产城发展范式 | 酒仙桥论坛 CAAI携手中国人民大学高瓴人工智能学院、英博数科启动高校学院算力支持计划 今年最火的AI产品,不止龙虾|榜单申报中 入职Meta的吴翼,清华叉院官网已撤其教职信息 智能座舱“大脑”No.1冲刺港股,身价630亿,小米理想小鹏背后的共同供应商 别养龙虾了,硅谷Agent新潮流是「爱马仕」 Claude强到不敢发的Mythos,被质疑用了字节Seed技术 有人把巴菲特芒格炼化成Agent,然后开源了… 「Claude Code之父」其实是野路子来的…… 养虾人看哭了!字节扣子2.5出生即满级,手机对话就能Vibe Coding HTML-in-Canvas引爆前端!AI时代互联网视觉效果完全不一样了 36.4万超声图文对!中国团队构建首个大规模超声专属数据集,让AI真正读懂临床诊断语义丨CVPR’26 Claude复活30年前传奇游戏,仅用一个周末 超越人手!中国第一家脑机接口独角兽,要把仿生手带给机器人 滴滴自动驾驶张博:聚焦安全和体验 推动自动驾驶全球化落地 奥特曼遭遇死亡威胁:凌晨家中被投燃烧瓶 中国具身模型狂揽全球第一!机器人的人类数据时代来了 刘壮陈丹琦新作:开源通用视觉推理RL框架,0思考数据刷新SOTA 阿里视频生成大模型Wan2.7登顶DesignArena榜单 紫荆智康发布“紫荆AI医院”线上虚拟诊室 击败PI!星动纪元登顶具身奥林匹克,狂揽三项全球冠军 实测刘翔pick的国产AI汽车,BBA老车主的豪华滤镜碎了 奔驰崩了,在华销量大跌27% LeCun点赞:国产开源模型占领硅谷,性价比超10倍 刷屏的SBTI,底层算法有点东西…
挖漏洞何必Mythos,国产智能体早跑通了
听雨 · 2026-04-23 · via 量子位

< img id="wx_img" src="https://www.qbitai.com/wp-content/uploads/imgs/qbitai-logo-1.png" width="400" height="400">

2026-04-23 08:43:41 来源:量子位

360智能体已经开始批量挖洞

听雨 发自 凹非寺
量子位 | 公众号 QbitAI

手握最强大的模型Mythos,Anthropic却把它锁了起来。

原因是它能自主发现软件漏洞,而且发现得太多、太快,Anthropic觉得不安全,只开放给少数机构测试。

这件事在安全圈炸了锅。很多人开始第一次认真思考:AI规模化挖漏洞,到底意味着什么?

但有一家公司,对这个问题已经有了答案。

360集团自主研发的漏洞挖掘智能体,近日公开披露两项重大发现:

一个潜伏近5年的Windows内核提权漏洞(CVE-2026-24293);

一个潜伏整整8年的Office远程代码执行漏洞。

360漏洞挖掘智能体自动化生成Windows内核提权漏洞(CVE-2026-24293)报告

两项漏洞合计影响全球超10亿用户,均已上报国家漏洞库完成修复,360为此获得了微软安全响应中心(MSRC)官方致谢。

360漏洞挖掘智能体发现Office远程代码执行漏洞获微软安全响应中心(MSRC)致谢

这也是我国首次公开披露,智能体已经能规模化发现基础软件核心漏洞的能力成果。

但这两个漏洞,还只是冰山一角……

这两个漏洞,到底有多危险

先说Windows内核提权漏洞

「内核」这个词,外行听着模糊,安全圈的人一听就知道事儿大了。

内核是操作系统的心脏,管着内存分配、权限校验、进程调度,所有应用程序都运行在它的保护之下。

一旦这里出了漏洞,攻击者能做什么?获取系统最高权限,数据窃取、远程控制、系统瘫痪,全部在掌控之内。

而它潜伏近5年——这就意味着,在过去整整5年里,传统人工审计的方法对它「频频错过」

那些依赖特征库、规则库、黑名单的防御体系,在它面前完全失效了。

攻击面也出奇的广:个人电脑、政企办公系统、关键基础设施,只要跑Windows,就在这颗定时炸弹的阴影下

另一个Office远程代码执行漏洞,那也不是省油的灯。

它被评为Critical高危级别,潜伏达8年之久,是迄今已知潜伏时间最长的高危漏洞之一。

攻击路径也几乎无感:用户什么都不用点,只是打开一个Word文档、一个PPT,设备就可能被远程控制。

想想就头皮发麻……

更关键的问题在于,传统检测方式对这个漏洞长期未能有效识别

那么360漏洞挖掘智能体,具体做了什么呢?

其实呢,挖漏洞这件事,对AI的能力要求远超普通的代码生成与理解

它要求模型具备状态推理、路径规划、因果链分析等高阶认知能力,能够在不完整信息下进行多步骤的逻辑推演。

可以这么说,漏洞挖掘就是AI能力的极限测试场,是Agent高阶推理的「图灵测试」

以Windows内核提权漏洞为例,360智能体对其进行了深度解析,利用了这类漏洞需要理解内存管理、权限模型、系统调度等底层机制。

这并非简单的模式匹配,而是在一个复杂的状态空间里做多层级的因果推理。

360智能体不仅发现这个异常点,而且完成了完整的「利用链构建与验证」——从「看见可疑代码」到「证明它真的能被攻击」。

发现一个可疑点是感知,把完整攻击路径还原出来并验证它真的可被利用,才是决策和行动。这也是为什么安全圈把它当成真正的能力标志来看。

更关键的是,这两个漏洞的定位,均在系统自动化运行中完成,全程无需人工介入。

在速度方面,传统顶级专家审计同等难度的漏洞,需要数月甚至数年

当然,这也不是专家不够努力……是因为高价值漏洞本来就需要在代码里反复推理、验证、猜测,时间成本是刚性的。

但是360智能体直接把这个过程压缩至分钟级,那效率差就相当恐怖了——不是倍数级别,是数量级。

这也意味着,黑客的攻击时间窗口被极限压缩,全球十亿级用户的数字资产从根源上获得保障。

成本也同步打穿了。过去挖一个内核级0day,成本动辄数十万美元。

自动化批量挖掘之后,边际成本趋近于零,大规模常态化漏洞扫描从「行业愿景」变成了「持续运转的现实」。

360的技术路线:把310亿+攻击样本和顶级安全实战经验「蒸馏」进模型

360是怎么做到的?它和Mythos,走的是两条不同的路。

Mythos的核心是超大参数通用模型加持长上下文推理,靠强大的代码理解能力找漏洞,本质是「读代码猜漏洞」,属于实验室阶段的前沿探索。

360走了另一条路线:将20年攻防实战经验与多智能体协同架构相结合,构建一套「攻防经验蒸馏+智能体蜂群协同」的专家系统。

如果说Mythos证明了AI能「读懂」代码,360的智能体蜂群则证明了AI能「筑牢」系统。

这套蜂群体系是一套完整的多智能体协同作战体系,观察者智能体统一调度,自适应路由引擎根据项目画像动态分配任务。

流程大概是这样婶儿的:

  • 攻击面分析智能体锁定入口;
  • AI代码审计智能体以大模型跨文件推理穿透数据流;
  • 漏洞验证智能体自动生成利用代码并在隔离沙箱中复现确认;
  • 报告生成智能体输出完整审计报告。

从代码接入到报告交付,标准化、自动化、全闭环。

理解代码,和懂得怎么攻守系统,是两件事。前者是智商,后者是在真实对抗环境里摸爬滚打出来的肌肉记忆。

360懂攻防逻辑、懂漏洞机理、懂攻击链,妥妥靠的是实战打赢

那么360为何能做到这一点?其实也源于其深厚的经验积累和护城河。

360深耕网络安全20年,积累了300亿+攻击样本、亚洲第一白帽安全专家团队,以及国家级攻防演练的全周期数据。

把这些注入模型,不让模型「自学挖洞」,而是把顶级红队蓝队数十年的攻防经验、工具链和攻击逻辑直接「蒸馏」进智能体,让它拥有「顶级安全专家大脑」。

早年间,360骨子里已经具备了深厚的「安全基因」:

周鸿祎大学时期曾用三天发现校园计算中心的重大漏洞,老师非但没有惩罚,反而认可了他「用攻击发现问题才是真安全」的逻辑。

这是360从第一天起坚持攻防实战的底层基因。

而在西北工业大学遭美国NSA网络攻击事件中,360依托积累的攻击样本库,精准溯源出NSA旗下TAO部门使用的十余种网络武器,完整还原了国家级攻击链条。

那时,漏洞复现智能体的「雏形版」已经在实战中运转。

场景适配上,360与Mythos也走出了不同路径。Mythos深度适配西方主流系统,对国产软硬件和中文基础设施存在天然盲区。

360原生适配中国数字生态,覆盖国产操作系统、国产数据库、政务系统等核心领域。

驱动逻辑上,Mythos是「模型驱动」的路线,以超大参数量的通用模型为核心引擎,用长上下文推理能力去「读懂」代码,再从中发现漏洞的蛛丝马迹。

360走的则是「智能体工程化」路线,不押注单一模型的智能上限,而是把漏洞发现拆解成可编排、可协同、可迭代的工程问题,由多个专项智能体分工协作,形成从发现到验证到利用链构建的完整闭环。

能力闭环上,Mythos面向市场开放,存在能力扩散风险;360的漏挖能力定向服务国家关键领域,防御优先,沙箱强隔离、细粒度权限管控确保攻防行为均在受控空间内进行。

截至目前,360漏洞挖掘智能体体系已累计挖掘近千个漏洞,其中经国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)及相关厂商确认的高危漏洞超过50项,多项属于全球首次公开发现。

覆盖领域包括Windows操作系统、Office办公软件、安卓、物联网设备、OA系统、国产操作系统等核心领域,影响范围遍及全球。

但这还不够,360智能体已将能力延伸至AI原生基础设施领域。前不久,360还率先发现OpenClaw高危漏洞,并获其创始人Peter官方回信确认。

说明其视野已经超越了「适配现有系统」,具备面向下一代基础设施的漏洞发现能力——这也是Mythos当前尚未触及的领域。

抢夺漏洞主导权,御敌于国门之外

Mythos发布之后,Anthropic做了一件事:联合约40家西方关键基础设施厂商,发起了Project Glasswing安全合作计划

成员阵容包括AWS、Apple、Microsoft、Google、Nvidia、CrowdStrike、Palo Alto Networks等几乎所有关键网络基础设施的所有者和防护者。

目标是在漏洞挖掘能力扩散至攻击方之前,优先完成关键基础设施的漏洞修复,赢得「防守优势窗口」。

但是问题来了:这个联盟的成员来自美国、欧洲、日本等国企业,中国企业却不在其中

这就十分耐人寻味了。

一个新趋势已经暗中浮现出来:数字安全能力正在形成新的地缘结构,类似于芯片和操作系统,自主可控与否,决定安全底线在哪里。

周鸿祎曾明确做出判断:

漏洞不出国,是国家战略资产。

360早年即明确停止海外漏洞合作,坚持自主挖掘、自主上报路线,全力打造中国自己的漏洞智能体体系。

道理并不复杂。漏洞一旦外流,可能被用于远程瘫痪关键基础设施、控制核心数据通道,甚至实施国家级网络攻击。谁掌握漏洞主导权,谁就掌握数字世界的话语权。

在智能体时代,「御敌于国门之外」也有了新的含义:不是靠更高的城墙,而是靠更快的速度。

只要我方AI自动化代码扫描的速度和规模化挖掘的产能,能够碾压对方黑客智能体的攻击速度,对方批量扫描出的「未知漏洞武器」就会因为漏洞已被修补而彻底失效。

这才是根源上的「御敌于国门之外」

360漏洞挖掘智能体的千洞战绩与实战闭环证明了,中国具备独立于Glasswing联盟之外的自主漏洞发现体系

这不仅是一家企业的技术实践,更是在数字空间攻防规则被重写之际,中国赢得安全主动权的一张关键底牌。

那么,AI全面进入漏洞挖掘,意味着什么?

周鸿祎的判断是:

当攻击能力可以被训练进模型并规模化复制,一个人即可同时操控数十甚至上百个黑客智能体。
网络安全将从「人与人对抗」进入「人与机器、机器与机器对抗」的新阶段。

这意味着传统安全体系正全面失效,安全行业将迎来一次范式迁移,智能体成为新的基础能力形态

AI挖漏洞让成本下降了三个数量级,让「偶发性发现」变成「批量化持续产出」,过去依赖个体经验的手工作坊,变成了多智能体协同的工业化流水线。

这不仅是效率的量变,更是国家数字安全能力与产业结构的质变。

360漏洞挖掘智能体的两项重大进展,为智能体驱动网络安全体系建设提供了“中国方案”的参考路径。

同时也证明,当AI挖漏洞走向「自动化规模化」阶段,360已经处在了智能体时代的第一梯队

版权所有,未经授权不得以任何形式转载及使用,违者必究。