網路安全即工作量證明:AI 攻擊每次耗費 12,500 美元
網路安全正從技術問題轉變為算力問題。 英國 AISI 的評估顯示,Claude Mythos 在 10 次嘗試中有 3 次完成了 32 步驟的企業網路攻擊模擬,每次耗費 12,500 美元。Drew Breunig 的論點:防禦方必須在自動化漏洞探測上投入超過攻擊方的花費,否則必敗無疑。
英國 AI 安全研究所針對 Claude Mythos Preview 的網路安全能力發布了獨立評估報告。1 最引人注目的數據:Mythos 在 10 次嘗試中有 3 次完成了 32 步驟的企業網路攻擊模擬。目前沒有其他模型能完成完整的攻擊鏈。隔天,Drew Breunig 發表了經濟面的推論:每次嘗試大約耗費 12,500 美元的 token 費用。2 這兩份分析合在一起,將網路安全從技術問題重新定義為算力問題。
這個結論令人不安。按照 Breunig 的框架,防禦一個系統現在需要花費比攻擊方更多的 token 來發現漏洞。2 安全防護向來具有不對稱性:攻擊方只需找到一條路徑,防禦方則必須封堵所有路徑。AI 代理保留了這種不對稱性,但改變了競爭軸線。稀缺資源不再是專業技能,而是算力預算。
AISI 究竟測量了什麼
評估採用了兩種測試方法:奪旗賽(CTF)挑戰和網路靶場模擬。1
關鍵的網路靶場「The Last Ones」(TLO)模擬了一次 32 步驟的企業網路攻擊。人類預計需要約 20 小時才能完成。1 Mythos 在 10 次嘗試中有 3 次完成了完整的攻擊鏈。在全部 10 次執行中,Mythos 平均完成了 32 步驟中的 22 步。相比之下,Claude Opus 4.6 在同一靶場平均完成 16 步。1
在專家級 CTF 任務中,Mythos 的成功率達到 73%。1
Token 消耗本身就說明了問題。AISI 測試的範圍涵蓋:非專家級 CTF 最高 250 萬 token、專家級 CTF 最高 5,000 萬 token、網路靶場模擬最高 1 億 token。1 評估明確指出「在所測試的 token 預算範圍內,模型隨著 token 預算增加持續取得進展」,且 AISI 預期「在超過所測試的 1 億 token 上限後,效能仍會繼續提升」。1
Token 越多,進展越大。未觀察到任何瓶頸。
AISI 審慎地界定了研究發現的適用範圍。網路靶場缺乏主動防禦者、防禦工具,以及觸發警報的懲罰機制。1 該評估適用於「防禦薄弱且存在漏洞的企業系統」,而非配備 SOC 和 IDS 的強化生產環境。Mythos 在聚焦於營運技術的「Cooling Tower」靶場中也未能通過。1
這些限制條件確實重要。但趨勢更為關鍵。先前的模型無法在這些靶場中完成完整的攻擊鏈。1 如今有模型能在 10 次中有 3 次完成 32 步驟的企業入侵,且效能曲線隨算力上揚。問題不在於 AI 能否突破防禦薄弱的系統(AISI 已證明可以)。問題在於:對強化環境的成功率何時會跨越門檻,使自動化攻擊在經濟上變得合理。
經濟面分析:每次嘗試 12,500 美元
Breunig 的分析將 AISI 的發現轉化為美元數字。2 每次嘗試消耗 1 億 token,單次 Mythos 在 TLO 上的執行成本約為 12,500 美元。10 次 TLO 嘗試耗費 125,000 美元。2
這些數字單獨來看似乎不少。但對比 32 步驟企業網路入侵給防禦方造成的損失,就顯得微不足道了。該模型達到 30% 的成功率,成本僅為人工的一小部分,且可隨時執行,成功率還會隨預算提升。將同樣的攻擊鏈執行 100 次而非 10 次(假設針對靜態目標的獨立、相同配置嘗試),預期成功入侵次數從 3 次躍升至 30 次,token 費用約 125 萬美元。對個人研究者而言價格不菲,對國家級行為者而言不過是零頭。
Breunig 的核心論點:「要強化一個系統,你在發現漏洞上花費的 token 必須超過攻擊方利用漏洞所花的 token。」2 安全防護成為 token 預算的軍備競賽。Breunig 主張防禦方必須在自動化漏洞探測上投入更多,否則注定落敗。
他提出三階段模型:開發、審查、強化。2 開發階段建構系統。審查階段捕捉已知的缺陷類型。強化是全新階段:持續執行自主漏洞探測,直到預算耗盡。系統的安全性取決於團隊在部署前花了多少 token 來嘗試攻破它。
Breunig 寫道:「你不會因為聰明而得分。你靠花得更多來取勝。」2
Linus 定律獲得 Token 維度
Breunig 將 Linus 定律——「只要有足夠多的眼睛,所有 bug 都是淺顯的」——延伸到 token 維度。2 足夠多的自動化審查週期,配合足夠的算力預算,將揭露人工審查遺漏了數十年的漏洞。
證據支持這一延伸。如 When Your Agent Finds a Vulnerability 所述,Carlini 在 Anthropic 的研究據報導使用一個 10 行的 bash 腳本和 Claude Code 發現了一個存在 23 年的 Linux 核心漏洞。4 如 Project Glasswing 所述,Anthropic 以 Mythos 擴展了這一方法,據其描述在主要作業系統和瀏覽器中發現了數以千計的零日漏洞。5 AISI 的評估現在為這一底層能力提供了獨立驗證。
Simon Willison 補充了一個值得關注的觀察:AI 驅動的安全審查提升了開源函式庫的價值,因為花在安全上的 token 惠及所有使用者。3 專有程式碼需自行承擔安全成本。開源程式碼則將這些成本分攤給整個使用者群體。
Breunig 引用 Anthropic 每次審查 15 至 20 美元的程式碼審查產品作為當前定價的參考數據。2 他也在依賴套件安全的脈絡下提到了 LiteLLM 和 Axios 的供應鏈事件,作為凸顯自動化審查必要性的案例。2
公式由此明確:「程式碼依然廉價,除非它需要安全。」2 生產系統中的每一行程式碼都隱含著安全債務。過去這些債務隱藏在安全團隊的薪資中,以及人工審查能捕捉到關鍵缺陷的機率性期望裡。基於 token 的安全防護使成本變得明確且可衡量。
限制條件的真正意涵
AISI 的限制條件值得仔細解讀,而非輕易忽略。
缺乏主動防禦者大幅改變了評估結果。對一個沒有監控、沒有警報、沒有事件回應的系統發動 32 步驟攻擊鏈,與對一個配備完整 SOC 的系統發動同樣的攻擊,是根本不同的問題。真實的企業網路配備了 EDR、網路分段、異常偵測和人類分析師。自動化攻擊者觸發的每一個警報,都是防禦方回應的機會。
不處罰噪音意味著模型可以嘗試人類攻擊者會避免的暴力破解手法。一個在一小時內觸發數百個 IDS 警報的真實攻擊者會被調查。AISI 的靶場並未模擬這種反饋迴路。在真實網路中,噪音對攻擊方代價高昂。隱蔽性限制了搜尋空間。移除這個約束,問題就變得更加容易。
Cooling Tower 的失敗同樣具有啟示意義。Mythos 解決了以 IT 為核心的 TLO 靶場,但在營運技術靶場中失敗。1 OT 環境有不同的協定、不同的限制和不同的失敗模式。AISI 指出模型卡在該靶場的 IT 部分,因此失敗不一定代表 OT 專項能力不足,但模型的能力在不同領域顯然並不均勻。IT 網路滲透和工業控制系統攻擊是不同的問題,從這次評估對 OT 就緒程度下結論需要格外謹慎。
然而,這些限制條件也有時效性。Token 預算會擴展。模型能力在每次評估間持續提升。對無防禦網路 30% 的成功率是下限,而非上限。AISI 自身也預期在所測試的預算之外效能會繼續提升。1 那些因為靶場缺乏主動防禦就輕視這些發現的防禦者,是在押注推論擴展會在觸及其防線之前見頂——而 AISI 在測試範圍內的數據並不支持這個賭注。
從業者的實務啟示
對於在生產環境中運行 AI 代理的人(我自己就透過 Ralph Loop 配合 95 個 hooks 作為安全基礎設施,讓自主代理通宵運行),工作量證明的框架改變了思考防禦的方式。
安全 hooks 是最低支出,而非充分條件。 我的 95 個 hooks 控制代理的行為權限:阻擋強制推送、驗證憑證、強制沙箱隔離。這些 hooks 防止自己的代理造成損害。但對於花費 1 億 token 探測這些代理所互動系統的外部攻擊者,它們無能為力。Hook 基礎設施是必要的,但不充分。
自動化攻擊測試成為必要項目。 Breunig 的三階段模型(開發、審查、強化)意味著每個部署流程都需要一個對抗階段,由 AI 代理在系統上線前嘗試攻破它。不是走形式的滲透測試,而是預算耗盡式的演練。持續執行自動化漏洞探測直到預算用完,修復發現的問題,然後重複。
Ralph Loop 現在有了安全面的推論。 我在 iterative security degradation 的脈絡下討論過效能問題:代理通過了所有測試,卻引入了 446 倍的效能下降。同樣的模式也適用於安全。一個寫出正確、可運作、測試完備程式碼的代理,仍可能引入只有在對抗式自動化審查下才會浮現的微妙漏洞。解決方案一樣:補上缺失的檢查關卡。效能基準捕捉效能退化。自動化紅隊演練捕捉安全退化。
開源依賴套件需要 token 預算。 Willison 關於集體利益的觀察直接適用於依賴管理。生產技術堆疊中的每個開源函式庫,要麼有人在對它進行自動化安全審查,要麼就是沒有。Breunig 在依賴套件安全的脈絡下引用了 LiteLLM 和 Axios 的供應鏈事件,這些案例中的漏洞在廣泛使用的函式庫中長期存在。2 從業者應以新的視角評估依賴樹:誰在為這個函式庫的安全花費 token?
令人不安的數學
工作量證明的框架以專業模型從未有過的方式,讓安全經濟學變得清晰可見。在舊模型下,安全品質取決於你雇用了誰、他們有多專業。在新模型下,安全品質取決於你花了多少 token 來嘗試攻破自己的系統。
人才仍然重要:需要有人解讀結果、排定修復優先級、做出架構決策。但發現階段——自動化代理揭露漏洞的部分——日益成為算力問題。而在 AISI 測試的範圍內,算力問題偏向願意投入更多的一方。
與加密貨幣工作量證明的類比雖不完美,但頗具啟發性。比特幣礦工消耗電力來保護區塊鏈。防禦者消耗 token 來保護系統。兩者的安全保障都與投入的算力成正比。兩者中願意花更多算力的攻擊方都佔有優勢。差異在於:比特幣挖礦難度自動調節。安全 token 預算則需要人為判斷多少才足夠。
對資金充裕的組織而言,前進路徑清晰。將自主漏洞探測加入部署流程。按照系統的風險等級設定 token 預算。用盡預算。修復浮現的問題。上線。
對其他人而言,前路就沒那麼舒適了。如果無法承擔比攻擊方更多的 token 防禦支出,就需要仰賴共享基礎設施:開源安全審查、供應商提供的掃描、集體防禦。安全版的群體免疫。正如群體免疫一樣,只有足夠多的參與者貢獻才能運作。依賴開源安全審查卻不回饋 token 的策略,在失效之前一直有效。
AISI 的評估證明了 AI 代理可以完成企業網路攻擊。Breunig 主張防禦是一場支出問題。Willison 指出了防禦方擁有的一項結構性優勢:共享基礎設施將成本分攤給所有使用者。
每位從業者面對的問題,與工作量證明系統一直以來追問的相同:你願意燃燒多少算力?
FAQ
「網路安全即工作量證明」是什麼意思?
這個說法將網路安全從技術問題重新定義為算力問題。英國 AISI 的評估顯示,Claude Mythos 在 10 次嘗試中有 3 次完成了 32 步驟的企業網路攻擊,每次約耗費 12,500 美元。防禦一個系統現在需要花費比攻擊方更多的 token 來發現漏洞。安全品質取決於你在部署前花了多少 token 來嘗試攻破自己的系統。
Claude Mythos 在網路安全任務上的表現如何?
Mythos 在 10 次嘗試中有 3 次完成了完整的 32 步驟「The Last Ones」企業網路攻擊模擬,所有執行的平均完成步驟為 32 步中的 22 步。在專家級奪旗賽任務中,Mythos 的成功率為 73%。AISI 指出效能隨 token 預算增加持續提升,在測試的 1 億 token 上限內未觀察到瓶頸。
AISI 評估有哪些限制?
網路靶場缺乏主動防禦者、防禦工具,以及觸發警報的懲罰機制。該評估適用於「防禦薄弱且存在漏洞的企業系統」,而非配備 SOC 和 IDS 的強化生產環境。Mythos 在營運技術的「Cooling Tower」靶場中也未能通過。真實的企業網路配備了 EDR、網路分段、異常偵測和人類分析師,這些在評估中均未模擬。
從業者應如何因應這些發現?
部署 PreToolUse hooks 作為最基本的安全層。將自主攻擊測試加入部署流程,作為預算耗盡式的演練。以新的視角評估開源依賴套件:誰在為這個函式庫的安全花費 token?工作量證明的框架意味著每個生產系統在部署前都需要一個對抗階段,由 AI 代理嘗試攻破它。
Citations
-
UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, April 13, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
-
Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, April 14, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
-
Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, April 14, 2026. ↩
-
Nicholas Carlini, “An AI Found a Bug in My Code (That Humans Missed for 23 Years),” nicholas.carlini.com, 2026. As referenced in When Your Agent Finds a Vulnerability. ↩
-
Anthropic, “Mythos Preview: Responsible Disclosure of Cyber Capabilities,” red.anthropic.com, 2026. As referenced in Project Glasswing. ↩