4 月初,Anthropic 做了一件不太像大模型公司的事。
它没有把 Claude Mythos Preview 扔进 API 菜单,也没有搞一场面向开发者的发布会。它把模型放进 Project Glasswing,只给约 40 家经审核的企业安全公司、云厂商和关键基础设施运营方访问,还拿出最高 1 亿美元 credits,让防御方先跑。
这件事最值得盯的,不是“Claude 又强了”。而是 Anthropic 第一次把前沿模型访问权,和网络安全里的“窗口期”直接绑在一起。
比早先只有安全口径时,现在多出来的变量很关键:Mythos 不只是危险,也很贵;不只是需要管控,也可能吃掉大量推理容量;不只是伦理选择,也是一道商业算账题。
Mythos 到底发生了什么
Anthropic 对 Mythos 的定位很重:它可能具备自主发现并利用零日漏洞的能力。
零日漏洞不是训练数据里背下来的旧案例,而是尚未公开、尚未修补、攻击者和厂商可能都还没完全掌握的真实缺陷。把这种能力广泛开放,最坏情况不是“多了一个会写安全报告的机器人”,而是攻击者先拿到规模化挖洞和利用工具。
目前公开信息可以压成一张速读卡:
| 项目 | 已公开信息 | 影响 |
|---|---|---|
| 访问方式 | Project Glasswing 限制开放 | 普通开发者不能自助调用 |
| 参与方 | 约 40 家受审机构 | 偏向安全厂商、云平台、关键基础设施方 |
| credits | 最高 1 亿美元 | 防御方先获得试用窗口 |
| 上下文 | 100 万 token | 可处理大型代码库、日志、漏洞报告 |
| 最大输出 | 12.8 万 token | 适合长链路分析、复现、修复建议 |
| 预览价格 | 输入 25 美元/百万 token,输出 125 美元/百万 token | 大规模 agent 调用成本很高 |
这里的关键是“顺序”。
Anthropic 没有先把能力推给开发者生态,再补安全规则。它选择先把能力交给防御联盟,让少数机构在可控范围内试用。
这套说法有合理性。安全行业一直有一个老问题:公开披露太早,攻击者先跑;披露太晚,用户裸奔。Mythos 如果真能加速零日发现,先给防御方一段窗口期,至少不是空话。
谁会直接受影响
最直接受益的是大型安全公司、云平台和关键基础设施运营方。
它们有代码库、有日志、有攻防流程,也有能力消化昂贵调用成本。对这类机构来说,Mythos 不是聊天机器人,而是一个更会读代码、更会追链路、更能生成修复建议的安全分析器。
真正被挡在门外的是中小安全团队、独立研究者和普通开发者。
他们未必没有能力做出好研究,但拿不到同一档工具。以后安全研究的竞争,可能不只比经验和直觉,还要比谁进了受审名单、谁有预算跑长上下文 agent。
这就是 Project Glasswing 的双面性。
它保护了防御窗口,也抬高了创新门槛。安全行业本来就不平,前沿模型再加一道门禁,强者更容易先拿到新武器。
“危险叙事”现在要加上成本变量
我不太买账一种单线叙事:因为太危险,所以只能锁起来。
安全风险当然存在。问题是,新线索把另一层现实摆出来了:Mythos 可能同样贵、重、难以稳定服务。
Fortune 披露的内部草稿里,同时出现过两个表述:Mythos “expensive to run”,以及 “not yet ready for general release”。这不是 Anthropic 的正式结论,也不能直接写成“真正原因就是缺算力”。但它足以提醒我们,内部讨论很可能不只围绕安全,还围绕成本、容量、稳定性和产品成熟度。
同一时期,Anthropic 的算力动作也很密集:
- 扩大与 Google、Broadcom 的 TPU 相关合作;
- 与 CoreWeave 签下新增算力安排;
- 被报道在评估自研 AI 芯片;
- 限制高负载第三方 agentic harnesses,理由是这类工具会持续调用 Claude,给系统带来压力。
这些信号不能证明 Mythos 是“因为缺算力才不开放”。证据没到那一步。
但它们至少说明,Anthropic 面对真实的容量管理压力。100 万 token 上下文、12.8 万 token 输出,再叠加 agent 式连续调用,推理成本和普通聊天完全不是一个量级。
价格本身就是证据。输入 25 美元、输出 125 美元/百万 token,这不是给所有开发者随便试错的价格。
Anthropic 这次做对了一半
我愿意承认,Anthropic 这次少见地把发布节奏做得比较克制。
过去两年,大模型行业最常见的发布套路是:能力先冲出去,风险留给产品条款、红队报告和用户自觉。Anthropic 这次反过来,先找防御方,先限定用途,先控制负载。
这比“先上车后补票”好。
但另一半问题也不能装看不见。安全叙事一旦和访问控制、商业定价、算力分配绑在一起,就会天然变成权力工具。
谁能用,谁不能用;谁先用,谁后用;谁被定义为防御者,谁被挡在门外。这些不是纯技术问题。
“天下熙熙,皆为利来。”这句话放在这里并不刻薄。前沿 AI 公司不是慈善安全委员会,它们要管风险,也要管毛利、客户、容量和生态位置。
安全是很好的理由。商业也是很硬的理由。两者经常不是互相排斥,而是互相加固。
横向看,它选择了更封闭的路线
OpenAI、Google DeepMind、Meta 发布前沿模型时,通常会在几件事之间找平衡:API 开放、分层定价、企业内测、红队评估、能力限制。
Anthropic 这次更像把 Mythos 先交给一个特定防御联盟,而不是先交给开发者生态。
这个选择有两层好处。
对安全来说,少数机构更容易审查、追踪和问责。对商业来说,高价值客户、明确用途、可控负载,也更容易算账。
代价也清楚:外界很难独立验证 Mythos 到底强到什么程度。
AWS、Microsoft 等产业伙伴可以证明这个框架被大客户认可,但不能替 Anthropic 完成独立验证。合作方博客不是安全评测,客户背书也不是能力证明。
所以现在最准确的判断是:危险可能是真的,昂贵也可能是真的;能力很可能值得管控,但“危险”不该成为免检标签。
接下来该看三个硬指标
这件事不用看口号,看三个动作就够。
第一,Anthropic 会不会发布更完整的 Mythos 安全评测。
如果它真能发现并利用零日漏洞,评测至少要说明边界:哪些任务强,哪些任务弱,误报率如何,是否能从发现走到可利用链路,防护措施怎么生效。
第二,Glasswing 参与机构会不会给出可复核的防御成果。
比如帮助发现了哪些类别的问题、缩短了多少修复时间、是否减少了误报和人工排查成本。不能只说“很强”“很有帮助”。安全行业最怕这种形容词。
第三,价格和访问范围会不会随着算力扩张而变化。
如果能力继续受限,但价格下降,安全理由更站得住:说明 Anthropic 不是单纯靠高价筛人。如果访问逐步放开,却仍维持高价,那就说明市场正在为“危险能力”支付昂贵账单。
这不是坏事,也不是好事。它只是把事实摊开:前沿 AI 的发布,已经不再是模型能力问题,而是风险、算力、客户和平台控制权一起定价。
回到开头那个反常点:一个模型越强,越不急着公开;越说为安全,越要看成本。
Claude Mythos 的故事,不该被压缩成“Anthropic 很负责”,也不该被反转成“都是缺算力的借口”。更像的答案是:安全是门,算力是锁,门票卖给谁,才是这场发布真正的政治经济学。