中经记者 李静 北京报道

近日，360集团创始人、董事长周鸿祎宣布推出自研漏洞挖掘智能体"图龙锋"，对标美国Anthropic旗下Mythos模型的漏洞自动发掘能力。Mythos由于涉及“国家安全”被出口管制，禁止向美国以外的用户开放。

周鸿祎在接受《中国经营报》及其他媒体记者采访中直言，Mythos具备批量挖掘零日漏洞、自动生成攻击代码的能力，已被美国视作网络战略资产。如果中国网络安全行业无法找到新的应对之道，或将迎来第二次“单向透明”危机。“本土厂商必须打造对等攻防工具，以智能对抗智能，破解AI时代全新安全困局。”

Mythos对安全行业形成颠覆性冲击

“如果把Mythos的能力简单理解成‘能挖漏洞的AI’，就远远低估了这件事的分量。”周鸿祎在演讲中说，“它本质上是AI时代的网络核武器。”

据他介绍，Anthropic旗下Mythos 5及其民用阉割版Fable，可自主遍历海量代码、批量挖掘潜伏多年的零日漏洞、自动仿真验证并生成全套攻击载荷，挖掘效率、成本、覆盖范围均实现数量级革新。

传统安全专家挖掘单个高危漏洞动辄耗费数月，且产出不可预期；而Mythos依托算力可7×24小时并行扫描，单漏洞算力成本不足千美元。更关键的是，普通人借助这类模型也能制造攻击程序，瓦解了维持30年的“漏洞稀缺”攻防平衡。

“过去30年，网络攻防平衡很大程度上建立在‘漏洞难找’的基础上。”周鸿祎说，“高价值漏洞数量有限、发现成本高昂，往往只有少数顶级安全专家和国家级团队具备持续挖掘能力。但AI正在改变这一切。”

这一判断已得到验证。Mythos挖出了OpenBSD中潜伏27年的漏洞、FFmpeg中潜伏16年的漏洞——后者是全球音视频基础设施的核心组件。当漏洞从“稀缺资源”变成“规模化资源”，网络安全行业运行30年的游戏规则正在被彻底改写。

而且，美国已迅速拉拢谷歌、苹果、英伟达等40多家科技巨头成立“Glasswing”（玻璃之翼）联盟，涵盖15个国家、200多个组织，而中国被排除在外。

周鸿祎将此形容为中国网络安全面临的“第二次单向透明”：“第一次单向透明是敌暗我明，境外APT组织长期潜伏在我们的网络里看不见。但Mythos一来，变成了敌快我慢、敌众我寡。”

对标Mythos推出“图龙锋”

面对Mythos的降维打击，一个现实问题摆在面前：Anthropic拥有全球最强的大模型和算力，中国如何追赶？

周鸿祎的答案是：不走美国“大力出奇迹”的路线，而是走智能体工程化路线。

“不能等基座模型能力赶上Anthropic之后再做漏洞挖掘，因为我们等不起时间。”他在群访中坦言，国产开源基座模型与Anthropic相比还有差距，但“通过智能体Harness平台，无论是上下文的控制、工具的使用、知识的供给、流程的设计，还是多智能体的协作，可以让80分的大模型达到90分的水平”。

360“图龙锋”选择以智能体蜂群架构实现弯道超车，依托三重壁垒补齐能力差距：

第一是360的20年实战攻防数据。360沉淀了海量安全数据、漏洞知识库、顶级安全专家的攻防经验等行业Knowhow，这些是通用大模型不具备的核心优势。

第二是Harness调度管控平台，为基础模型配套记忆、工具管控、流程约束、多轮校验机制，把中等基座模型实战能力提升10%—20%，规避大模型输出不稳定问题。

第三是多智能体蜂群协同模式，不再依靠单一“AI黑客”，而是调度多类专业智能体，分工完成威胁建模、代码审计、沙箱仿真、漏洞复现等工作。

落地数据显示，“图龙锋”已累计挖出3000余个漏洞，其中监管确认105个，多个被国家漏洞库定义为高危漏洞。产品可覆盖开源代码、Windows等闭源二进制程序、AI智能体三大场景，先后挖出潜伏5年的Windows内核漏洞、8年的Office底层漏洞，以及OpenClaw体系23个核心组件缺陷，均获得厂商官方认可。

周鸿祎强调，“图龙锋”把漏洞挖掘从“碰运气式挖矿”转变为标准化流水线作业，实现对冲Mythos带来的单向透明风险。

与此同时，360还发布了网络安全自动化防御系统“仪天阵”。“如果说‘图龙锋’解决的是漏洞在哪里，那么‘仪天阵’解决的就是攻击来了怎么办。”周鸿祎说。

“仪天阵”可实现7×24小时自动运营、分钟级风险研判与处置，推动安全运营从“有人驾驶”进入“自动驾驶”。Mythos无疑拉开了全球AI攻防竞赛的序幕，周鸿祎表示：“唯一的出路是以算力对抗算力，以智能对抗智能，以机器对抗机器。”

（编辑：张靖超 审核：李正豪 校对：颜京宁）