網路安全即工作量證明

英國AI安全研究所針對 Claude Mythos Preview 的網路安全能力發表了一份獨立評估報告。¹ 最引人注目的數字：Mythos 在10次嘗試中有3次成功完成了一項32步驟的企業網路攻擊模擬。目前沒有其他模型能完成整條攻擊鏈。隔天，Drew Breunig 發表了經濟面的推論：每次嘗試大約耗費12,500美元的token費用。² 這兩份分析合在一起，將網路安全從技能問題重新定義為算力問題。

這個結論令人不安。防禦一個系統，現在需要花費比攻擊者更多的token來發現漏洞。² 安全一直都是不對稱的——攻擊者只需找到一條路徑，防禦者則必須覆蓋所有路徑。AI代理保留了這種不對稱性，但改變了競爭軸線。稀缺資源不再是專業技術，而是算力預算。

AISI 究竟測量了什麼

評估採用了兩種測試方法：奪旗賽（CTF）挑戰與網路靶場模擬。¹

最關鍵的網路靶場——「The Last Ones」（TLO）——模擬一場32步驟的企業網路攻擊。人類估計需要20小時才能完成。¹ Mythos 在10次嘗試中有3次完成了整條攻擊鏈。在全部10次執行中，Mythos 平均完成了32步中的22步。作為對比，Claude Opus 4.6 在同一靶場上平均完成16步。¹

在專家級CTF任務中，Mythos 的成功率為73%。¹

Token預算本身就說明了問題。AISI 測試的範圍涵蓋非專家CTF最多250萬token、專家CTF最多5,000萬token，以及網路靶場模擬最多1億token。¹ 評估明確指出「在所測試的token預算範圍內，模型隨著token預算增加持續取得進展」，並且AISI預期「效能改善將延續到」他們所測試的1億token上限之外。¹

更多token，更多進展。未觀察到效能瓶頸。

AISI 對研究發現做了審慎的範圍界定。網路靶場缺乏主動防禦者、防禦工具，且不會因觸發警報而受罰。¹ 該評估適用於「防禦薄弱且存在漏洞的企業系統」——並非配備SOC和IDS的強化生產環境。Mythos 也未能通過聚焦於操作技術的「Cooling Tower」靶場。¹

這些限制條件很重要，但發展趨勢更為關鍵。先前的模型無法在這些靶場上完成整條攻擊鏈。¹ 而今，一個模型在10次嘗試中有3次完成32步驟的企業入侵，且效能曲線隨算力投入向上彎曲。問題不在於AI能否入侵企業網路，而在於成功率何時跨過門檻，使自動化攻擊成為經濟上的理性選擇。

經濟學：每次嘗試12,500美元

Breunig的分析將AISI的研究發現轉換為美元數字。² 以每次嘗試1億token計算，Mythos在TLO上單次執行的費用約為12,500美元。10次TLO嘗試則為125,000美元。²

這些數字單獨來看似乎不小，但相較於一次32步驟企業網路入侵對防禦方造成的損失，就顯得微不足道了。模型以極低成本達到30%的成功率，隨時可以執行，而且成功率隨預算增加而提升。將同一攻擊鏈執行100次而非10次，預期成功入侵次數就從3次躍升至30次——以大約125萬美元的token費用實現10倍增長。對個人研究者而言所費不貲，對國家級行為者而言不過是財務報表上的捨入誤差。

Breunig的核心論點：「要強化一個系統，你需要花費比攻擊者用於攻擊的更多token來發現漏洞。」² 安全變成了一場token預算競賽。在Breunig的框架中，防禦者必須在自動化漏洞發現上超過攻擊者的支出，否則就是坐以待斃。

他提出了三階段模型：開發、審查與強化。² 開發階段建構系統，審查階段捕捉已知的漏洞類型，強化則是全新的階段——持續執行自主漏洞發現，直到團隊耗盡預算為止。一個系統的安全性，取決於團隊在部署前投入多少token來嘗試破壞它。

「聰明不會為你加分，」Breunig寫道。「花得更多才能贏。」²

Linus定律的Token維度

Breunig將Linus定律——「只要有足夠多的眼睛，所有臭蟲都是淺層的」——擴展到token的維度。² 足夠多的自動化審查週期，配合足夠的算力預算，將浮現人工審查數十年來遺漏的漏洞。

證據支持這一延伸。Carlini在 Anthropic 的研究工作——我在當你的代理發現漏洞一文中有所介紹——使用一段10行的bash腳本和 Claude Code 發現了一個存在23年的Linux核心漏洞。Project Glasswing以Mythos擴展了這一方法，在所有主流作業系統和瀏覽器中發現了數千個零日漏洞。AISI的評估現在提供了對此能力的獨立驗證。

Simon Willison補充了一個值得注意的觀察：AI驅動的安全審查提升了開源函式庫的價值，因為投入的token安全審計成果惠及所有使用者。³ 專有程式碼獨自承擔安全成本，開源程式碼則將這些成本分攤到整個使用者群體。

Breunig引用 Anthropic 每次審查收費15至20美元的程式碼審查產品，作為目前定價的一個參考數據。² 他也在依賴項安全的脈絡下提到了LiteLLM和Axios供應鏈事件——這些案例凸顯了自動化審查的必要性。²

公式由此結晶：「程式碼依然廉價，除非它需要是安全的。」² 生產系統中的每一行程式碼都隱含著安全負債。這筆負債過去隱藏在眾目睽睽之下——埋在安全團隊的薪資中，以及人工審查能捕捉到關鍵漏洞的機率期望裡。基於token的安全模式讓這項成本變得明確且可量化。

限制條件的真正含義

AISI的限制條件值得仔細研讀，而非一笑置之。

缺乏主動防禦者大幅改變了評估的意義。面對一個毫無監控、無警報、無事件回應的系統，32步驟的攻擊鏈與面對配備完整SOC的同一攻擊鏈，根本是兩個截然不同的問題。真實的企業網路配備了EDR、網路分段、異常偵測和人類分析師。自動化攻擊者觸發的每一個警報，都是防禦方回應的機會。

不對噪音施加懲罰意味著模型可以嘗試暴力破解的方法——這是人類攻擊者會避免的手段。一個在一小時內觸發數百條IDS警報的真實攻擊者會遭到調查。AISI的靶場並未模擬這種回饋迴路。在真實網路中，噪音對攻擊者是有代價的。隱匿性限制了搜索空間，移除這個約束，問題就嚴格變得更容易。

Cooling Tower的失敗同樣具有啟示意義。Mythos通過了以IT為重點的TLO靶場，卻未能通過操作技術靶場。¹ OT環境有著不同的協定、不同的約束條件和不同的故障模式。AISI指出模型卡在了該靶場的IT部分，因此失敗不一定代表模型缺乏OT特定能力——但其能力在不同領域顯然並不均衡。IT網路滲透與工業控制系統攻擊是不同的問題，從這項評估對OT就緒度下結論需要謹慎。

但這些限制條件也有「保質期」。Token預算可以擴展，模型能力在每次評估之間持續提升。對無防禦網路30%的成功率是下限，而非上限。AISI自身也預期效能將在所測試的預算之外繼續提升。¹ 那些因靶場缺乏主動防禦而輕視研究結果的防禦者，等於是在與推論算力的摩爾定律對賭。

對實務工作者的操作啟示

對於任何在生產環境中執行AI代理的人——而我每晚都透過Ralph Loop搭配95個hooks作為安全基礎設施來執行自主代理——工作量證明的框架徹底改變了防禦思維。

安全hooks是最低消費，不是充分條件。 我的95個hooks控管代理能做什麼：阻擋強制推送、驗證憑證、強制沙箱。這些hooks防止我自己的代理造成損害，但對一個花費1億token探測這些代理所互動系統的外部攻擊者毫無作用。Hook基礎設施是必要但非充分的。

自動化攻擊測試成為必要。 Breunig的三階段模型——開發、審查、強化——意味著每個部署流程都需要一個對抗階段，讓AI代理在系統上線前嘗試破壞它。不是走形式的滲透測試，而是token預算耗盡演練。執行自動化漏洞發現直到預算用完，修復浮現的問題，然後重複。

Ralph Loop現在有了安全推論。 我在迭代式安全退化一文中談論過效能背景下的問題——代理通過了每項測試，卻引入了446倍的效能衰退。同樣的模式適用於安全。一個能寫出正確、功能完整、測試通過的程式碼的代理，仍然可能引入細微的漏洞，只有在對抗式自動審查下才會浮現。解決方案不變：加上缺失的關卡。效能基準捕捉效能退化，自動化紅隊測試捕捉安全退化。

開源依賴項值得投入token預算。 Willison關於集體效益的觀察直接適用於依賴項管理。生產技術堆疊中的每一個開源函式庫，要嘛正在接受某人的自動化安全審查，要嘛就是沒有。Breunig在依賴項安全的脈絡下引用了LiteLLM和Axios供應鏈事件——漏洞在廣泛使用的函式庫中長期存在的案例。² 實務工作者應該以一個新問題來評估他們的依賴樹：誰在為這個函式庫的安全投入token？

令人不安的數學

工作量證明的框架讓安全經濟學變得前所未有的清晰——這是基於專家技能的模型從未做到的。在舊模型下，安全品質取決於你僱了誰、他們的技術有多高。在新模型下，安全品質取決於你花了多少token來嘗試破壞自己的系統。

人才依然重要——需要有人解讀結果、排定修復優先順序、做出架構決策。但發現階段，也就是漏洞被找到的環節，正日益成為一個算力問題。而算力問題有一個已知的特性：預算較大的一方勝出。

與加密貨幣工作量證明的類比雖不完美，卻頗有啟發。比特幣礦工消耗電力來保護區塊鏈，防禦者消耗token來保護系統。兩者的安全保證都與投入的算力成正比。兩者中預算更大的攻擊者都能壓制防禦。差異在於：比特幣挖礦難度自動調整，安全token預算則需要人為判斷多少才算足夠。

對資金充裕的組織而言，前進方向清晰明瞭。將自主漏洞發現加入部署流程，設定與系統風險等級成正比的token預算，耗盡預算，修復發現的問題，然後上線。

對其他人而言，前路則沒那麼舒適。如果你無力在防禦上投入比攻擊者更多的token，就需要依賴共享基礎設施——開源安全審查、供應商提供的掃描、集體防禦。安全領域的群體免疫。但如同群體免疫一樣，只有足夠多的參與者貢獻才能奏效。搭便車享受開源安全審查卻不回饋token的策略，在失效之前都管用。

AISI的評估顯示AI代理能夠完成企業網路攻擊。Breunig主張防禦是一個支出問題。Willison指出了防禦者唯一的結構性優勢：共享基礎設施將成本分攤到所有使用者身上。

每位實務工作者面臨的問題，與工作量證明系統一直以來問的問題相同：你願意消耗多少算力？

引用文獻

UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, April 13, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, April 14, 2026. ↩↩↩↩↩↩↩↩↩↩↩↩
Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, April 14, 2026. ↩