网络安全即工作量证明：单次运行成本12,500美元的AI攻击

网络安全正在从技能问题转变为算力问题。 英国AISI的评估显示，Claude Mythos以每次12,500美元的成本，在10次尝试中有3次完成了32步企业网络攻击模拟。Drew Breunig的论点是：防御者必须在自动化漏洞发现上的投入超过攻击者，否则注定落败。

英国AI安全研究所发布了一份针对Claude Mythos Preview网络安全能力的独立评估。¹ 核心数据：Mythos在10次尝试中有3次完成了32步企业网络攻击模拟。此前没有任何模型能够攻破完整链路。次日，Drew Breunig发表了经济学推论：每次尝试的token成本约为12,500美元。² 这两份分析共同将网络安全从技能问题重新定义为算力问题。

这一结论令人不安。按照Breunig的框架，防御一个系统现在要求在发现漏洞上花费的token超过攻击者利用漏洞所花费的token。² 安全领域历来不对称：攻击者只需找到一条路径，防御者却必须覆盖所有路径。AI智能体保留了这种不对称性，但转移了竞争轴心。稀缺资源不再是专业技能，而是算力预算。

AISI究竟测量了什么

评估采用了两种测试方法：夺旗赛（CTF）挑战和网络靶场模拟。¹

真正值得关注的网络靶场是”The Last Ones”（TLO），模拟了一次32步企业网络攻击。人类完成该任务估计需要20小时。¹ Mythos在10次尝试中有3次完成了完整攻击链。在全部10次运行中，Mythos平均完成了32步中的22步。作为对比，Claude Opus 4.6在同一靶场上平均完成了16步。¹

在专家级CTF任务中，Mythos的成功率为73%。¹

token预算本身就说明了问题。AISI测试的范围涵盖：非专家级CTF最高250万token，专家级CTF最高5000万token，网络靶场模拟最高1亿token。¹ 评估明确指出，”在测试的token预算范围内，模型随着token预算的增加持续取得进展”，并且AISI预计”在超过1亿token上限后，性能仍将继续提升”。¹

token越多，进展越大。未观察到性能平台期。

AISI审慎地界定了发现的适用范围。网络靶场缺乏主动防御者、防御工具以及触发警报的惩罚机制。¹ 评估适用于”防御薄弱且存在漏洞的企业系统”，而非配备SOC和IDS的加固生产环境。Mythos在专注于运营技术的”Cooling Tower”靶场中也未能通过。¹

这些限制条件很重要。但趋势更为关键。此前的模型无法在这些靶场上完成完整攻击链。¹ 如今，一个模型能在10次尝试中有3次攻破32步企业入侵链路，且性能曲线随算力投入持续上扬。问题不在于AI能否攻破防御薄弱的脆弱系统（AISI已经证明可以），而在于对加固环境的成功率何时跨越自动化攻击具备经济合理性的门槛。

经济账：每次尝试12,500美元

Breunig的分析将AISI的发现转化为具体金额。² 按每次尝试1亿token计算，在TLO上运行一次Mythos的成本约为12,500美元。十次TLO尝试的成本为125,000美元。²

孤立来看，这些数字似乎不小。但与32步企业网络被攻破给防御方造成的损失相比，就微不足道了。该模型以远低于传统成本的代价实现了30%的成功率，可随时按需运行，且成功率随预算增加而提升。将同一攻击链运行100次而非10次（假设针对静态目标进行独立且配置相同的尝试），预期成功渗透次数从3次跃升至30次，token成本约为125万美元。对个人研究者而言价格不菲，对国家级行为体而言不过是四舍五入的误差。

Breunig的核心论点：”要加固一个系统，发现漏洞所花费的token必须超过攻击者利用漏洞所花费的token。”² 安全变成了token预算的军备竞赛。Breunig认为，防御者必须在自动化漏洞发现上超过攻击者的投入，否则注定落败。

他提出了三阶段模型：开发、审查和加固。² 开发阶段构建系统，审查阶段捕获已知漏洞类别，加固则是全新阶段：持续运行自主漏洞发现，直到预算耗尽。一个系统的安全性取决于团队在部署前投入了多少token来尝试攻破它。

“聪明不能当饭吃，”Breunig写道，”赢的方式是花更多钱。”²

Linus定律的token维度

Breunig将Linus定律——“只要有足够多的眼睛，所有bug都无处遁形”——扩展到了token维度。² 足够多的自动化审查周期，配合足够的算力预算，将发现人类审查遗漏了数十年的漏洞。

证据支持这一扩展。正如When Your Agent Finds a Vulnerability一文所述，Carlini在Anthropic的工作中据报道使用一个10行bash脚本和Claude Code发现了一个存在23年之久的Linux内核漏洞。⁴ 正如Project Glasswing一文所述，Anthropic利用Mythos将这一方法规模化，据称发现了主流操作系统和浏览器中数以千计的零日漏洞。⁵ AISI的评估为底层能力提供了独立验证。

Simon Willison提出了一个值得关注的观点：AI驱动的安全审查提升了开源库的价值，因为投入的安全审查token惠及所有用户。³ 专有代码需要自行承担安全成本，开源代码则将成本摊薄到整个用户群体。

Breunig引用了Anthropic每次审查收费15-20美元的代码审查产品作为当前定价参考。² 他还在依赖安全的语境中引用了LiteLLM和Axios的供应链事件，作为凸显自动化审查必要性的供应链漏洞案例。²

公式由此明确：”代码仍然廉价，除非它需要安全保障。”² 生产系统中的每一行代码都背负着隐性安全债务。这些债务过去隐藏在安全团队的薪资中，寄希望于人工审查能以一定概率捕获关键漏洞。基于token的安全模式让成本变得显性且可量化。

限制条件的真正含义

AISI的限制条件值得认真解读，而非一笔带过。

缺乏主动防御者显著改变了计算。在没有监控、没有告警、没有事件响应的系统上执行32步攻击链，与在配备SOC团队的系统上执行同样的链路，是截然不同的问题。真实的企业网络部署了EDR、网络分段、异常检测和人工分析师。自动化攻击者触发的每一条警报都是防御方响应的机会。

无噪声惩罚意味着模型可以尝试人类攻击者会刻意避免的暴力破解方法。一个在一小时内触发数百条IDS警报的真实攻击者会被调查。AISI的靶场没有模拟这种反馈循环。在真实网络中，噪声对攻击者代价高昂。隐蔽性约束着搜索空间。移除这一约束，问题就变得简单许多。

Cooling Tower的失败同样具有启示意义。Mythos攻破了以IT为中心的TLO靶场，却在运营技术靶场上折戟。¹ OT环境有不同的协议、不同的约束和不同的故障模式。AISI指出模型卡在了该靶场的IT部分，因此这一失败不一定说明OT专项能力不足，但模型的能力在不同领域显然并不均衡。IT网络渗透和工业控制系统攻击是不同的问题，从本次评估推断OT就绪程度需要谨慎。

但这些限制条件也有”保质期”。token预算在增长，模型能力在评估间隔中不断提升。对无防御网络30%的成功率是下限，而非上限。AISI自身预期性能将超越测试的预算范围。¹ 以靶场缺乏主动防御为由忽视这些发现的防御者，实际上是在赌推理规模化会在触及其防线之前到达平台期——而AISI在测试范围内的数据并不支持这一赌注。

对从业者的实践启示

对于在生产环境中运行AI智能体的从业者（我自己通过Ralph Loop在夜间运行自主智能体，配备95个hooks作为安全基础设施），工作量证明框架改变了思考防御的方式。

安全hooks是最低投入，而非充分保障。 我的95个hooks控制着智能体的行为边界：阻止强制推送、验证凭证、强制沙箱隔离。这些hooks防止我自己的智能体造成损害，但对花费1亿token探测这些智能体所交互系统的外部攻击者毫无作用。Hook基础设施是必要条件，但远非充分条件。

自动化攻击测试成为刚需。 Breunig的三阶段模型（开发、审查、加固）意味着每条部署流水线都需要一个对抗阶段——在系统上线前由AI智能体尝试攻破它。不是走过场的渗透测试，而是token预算耗尽式的演练。运行自动化漏洞发现直到预算用完，修复发现的问题，循环往复。

Ralph Loop现在有了安全推论。 我曾在迭代性安全退化的语境中讨论过性能问题：智能体通过了所有测试，却引入了446倍的性能衰退。同样的模式适用于安全。一个编写出正确、功能完整、测试充分代码的智能体，仍然可能引入只有在对抗性自动化审查下才会暴露的细微漏洞。解决方案如出一辙：补上缺失的关卡。性能基准捕获性能回退，自动化红队演练捕获安全回退。

开源依赖需要token预算。 Willison关于集体受益的观察直接适用于依赖管理。生产技术栈中的每一个开源库，要么正在接受某方的自动化安全审查，要么没有。Breunig在依赖安全的语境中引用了LiteLLM和Axios的供应链事件，这些案例中的漏洞在广泛使用的库中长期存在。² 从业者应当用一个新问题来评估其依赖树：谁在为这个库的安全投入token？

令人不安的算术

工作量证明框架以前所未有的方式让安全经济学变得显性化——这是基于专业技能的模型从未做到的。在旧模型下，安全质量取决于你雇用了谁、他们技术多强。在新模型下，安全质量取决于你花了多少token来尝试攻破自己的系统。

人才依然重要：需要有人解读结果、确定修复优先级、做出架构决策。但发现阶段——自动化智能体发掘漏洞的环节——正日益成为一个算力问题。而在AISI测试的范围内，算力问题有利于愿意投入更多的一方。

与加密货币工作量证明的类比颇具启发性，尽管并不完美。比特币矿工燃烧电力来保护区块链，防御者燃烧token来保护系统。两种情况下，安全保障都与所投入的算力成正比。两种情况下，愿意投入更多算力的攻击者都将获得优势。区别在于：比特币的挖矿难度自动调节，安全token预算则需要人类判断多少才算足够。

对于资金充裕的组织，前进方向很明确。将自主漏洞发现纳入部署流水线。设定与系统风险等级相匹配的token预算。耗尽预算。修复发现的问题。上线。

对于其他组织，道路则没那么舒坦。如果无法在防御上投入超过攻击者在攻击上投入的token，就需要依赖共享基础设施：开源安全审查、供应商提供的扫描、集体防御。这相当于安全领域的群体免疫。而如同群体免疫一样，它只在足够多的参与者做出贡献时才有效。搭便车享受开源安全审查的成果而不回馈token，这种策略在失效之前一直有效。

AISI的评估表明AI智能体能够完成企业网络攻击。Breunig认为防御是一个支出问题。Willison指出了防御者拥有的一项结构性优势：共享基础设施将成本摊薄到所有使用者身上。

每位从业者面临的问题，与工作量证明系统一直以来追问的问题别无二致：你愿意燃烧多少算力？

常见问题

“网络安全即工作量证明”是什么意思？

这一表述将网络安全从技能问题重新定义为算力问题。英国AISI的评估显示，Claude Mythos能以每次约12,500美元的成本，在10次尝试中有3次完成32步企业网络攻击。防御一个系统现在要求发现漏洞所花费的token超过攻击者利用漏洞所花费的token。安全质量取决于在部署前投入多少token来尝试攻破自己的系统。

Claude Mythos在网络安全任务中的表现如何？

Mythos在10次尝试中有3次完成了完整的32步”The Last Ones”企业网络攻击模拟，所有运行中平均完成22步（共32步）。在专家级夺旗赛任务中，成功率为73%。AISI指出，在测试的1亿token上限范围内，性能随token预算增加持续提升，未观察到平台期。

AISI评估有哪些局限性？

网络靶场缺乏主动防御者、防御工具以及触发警报的惩罚机制。评估适用于”防御薄弱且存在漏洞的企业系统”，而非配备SOC和IDS的加固生产环境。Mythos在”Cooling Tower”运营技术靶场中也未能通过。真实企业网络具备EDR、网络分段、异常检测和人工分析师，而评估并未对此建模。

从业者应如何应对这些发现？

部署PreToolUse hooks作为最低安全层。将自主攻击测试作为token预算耗尽式演练纳入部署流水线。用一个新问题评估开源依赖：谁在为这个库的安全投入token？工作量证明框架意味着每个生产系统在部署前都需要一个由AI智能体尝试攻破的对抗阶段。

引用来源

UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, April 13, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, April 14, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, April 14, 2026. ↩
Nicholas Carlini, “An AI Found a Bug in My Code (That Humans Missed for 23 Years),” nicholas.carlini.com, 2026. As referenced in When Your Agent Finds a Vulnerability. ↩
Anthropic, “Mythos Preview: Responsible Disclosure of Cyber Capabilities,” red.anthropic.com, 2026. As referenced in Project Glasswing. ↩