事件经过
Bloomberg在2026年4月21日报道,一小群未授权用户通过利用Mercor泄露事件中泄露的信息和第三方合同评估员的内部访问权限,通过有根据的猜测找到了Anthropic的Claude Mythos Preview模型的在线位置并获得了访问权限——该公司将此模型描述为过于危险而无法公开发布。该群体自模型4月发布以来一直保持持续访问。
影响分析
此次泄露暴露了Anthropic在保护其最敏感模型方面的根本性安全漏洞,考虑到Mythos宣传的能力是能够发现"每个主要操作系统和网络浏览器中的漏洞",这一点尤其令人担忧。该事件破坏了Anthropic的AI安全定位,并引发了关于供应商安全实践、第三方承包商审查和有限预览模型监控的关键问题。安全研究员Lukasz Olejnik将这一失败描述为"完全可以想象的",在传统网络安全中属于常规问题。
建议行动
正在评估Anthropic用于敏感部署的组织应要求澄清承包商访问控制、模型使用日志记录和异常检测能力。AI安全团队应评估他们自己的有限预览或内部模型是否有足够的监控来检测未授权访问模式,特别是来自内部相关参与者的访问。