AI 攻防狂潮、开源模型的自尊、自己动手的云存储、拯救世界的老鼠、Go 的 C 异类
About This Episode
本期我们先拆解 Anthropic 新出的 Claude Mythos,看看 AI 攻击到底有多快;随后比对 GLM‑5.1 与云端巨头的纠结,聊聊本地推理能否真的撼动格局。紧接着把自托管 S3 的狂热者和 Dropbox 老粉的心路写进日常,再扯进一只拆弹的老鼠到底该不该被立碑,最后用 Solod 把 Go 的语法硬扁成 C,看看权衡到底在哪里。
Chapters
Links
小雅: 老冯,你这边怎么跟打仗似的?能量饮料又灌了一瓶?外面雨下得跟世界末日一样,你这边还嗡嗡嗡个不停。
老冯: 别提了,楼上装修倒是消停了,我这 CI 跑得比装修还惨。刚跑完 10 公里回来,本想清静会儿,结果 GitHub Actions 直接给我整了个红叉叉,气得我差点把键盘扔了。
小雅: 得了吧,你那键盘比你命还金贵。赶紧的,今天录啥?别告诉我又是 AI 又要统治世界那套,我耳朵都听出茧子了。
老冯: 统治世界?那得看人家乐不乐意。最近 AI 攻防战打得火热,你瞅瞅那些大模型,一边吹自己多安全,一边被人家三两下就搞出 prompt injection,跟纸糊的似的。
小雅: 哟,这不正好戳到你痒处了?你不是最爱看大厂出洋相吗?今年这帮开源模型也够意思,一个个跟有自尊心似的,动不动就「我拒绝回答」,生怕被人当工具使。
老冯: 可不是嘛,开源圈这帮人,平时叫嚣着「自由开放」,结果模型一上线,立马开始立规矩,跟家长似的。不过话说回来,自己动手的云存储最近也挺火,有个哥们直接在家里搭了个 NAS,还写了篇教程,评论区都炸了。
小雅: 哎呦,这不就是你一直鼓吹的「数据主权」吗?别光说不练啊,你那堆硬盘啥时候整理?还有,别跑题,今天咱不光聊技术,还有个奇葩新闻 —— 拯救世界的老鼠,你听说了没?
老冯: 老鼠?你可拉倒吧,别告诉我又是哪个实验室给老鼠装了个芯片,然后吹嘘能「预测地震」。不过 Go 那边倒是有个事儿挺有意思,有人非要在 Go 里塞 C 的那套东西,搞得跟混血儿似的,社区吵翻天了。
小雅: 行了行了,别贫了。今天咱就聊这些:AI 攻防、开源模型的自尊、自己动手的云、拯救世界的老鼠,还有 Go 的 C 异类。你准备好了没?别到时候又跑题到宇宙大爆炸去。
老冯: 放心,今天我就当个安静的美男子。不过你得保证不插嘴,我这边 CI 还在跑,随时可能爆炸。
老冯: 诶,小雅,你瞅见 Anthropic 刚放出来的这玩意儿没?Claude Mythos Preview,号称能自动发现并利用零日漏洞,还能给老旧系统打补丁。
小雅: 看了看了,牛逼得一批!这不就是传说中的「AI 黑客」吗?直接给你整个 KASLR bypass,还能自动写 ROP chain,简直是梦中情工具啊。
老冯: 梦中情工具?你是真敢说。这玩意儿要是落在坏人手里,那可就是噩梦了。评论区有个哥们说得好 ——「Construction is always more expensive than destruction」,AI 搞破坏比搞建设容易多了。
小雅: 切,你又开始杞人忧天了。Anthropic 不是说了吗,Project Glasswing 就是为了用 Mythos 来帮忙修补漏洞的。你想想,那些破公司,赚着几亿美金,还在用 Windows Server 2012 和 PHP 5.3,不靠 AI 来「自动打补丁」,难道靠他们自己觉悟?
老冯: 觉悟?小雅,你太天真了。评论区那个匿名哥们说得多实在 —— 他进公司第一天就发现 SQL 注入漏洞,直接拿 root 权限玩了。结果呢?公司屁事没有,还在赚大钱。你指望这种公司主动升级系统?
小雅: 靠,这帮资本家真是无药可救!但 Mythos 至少能帮忙「自动入侵并打补丁」啊,总比什么都不做强吧?有人评论说「It can be easier to hack the device and patch it than determine which device it is」,这不就是现实吗?
老冯: 你这话说得我都想笑。「自动入侵并打补丁」?你这是在给「黑客行为」找借口。法律和伦理风险谁来担?Anthropic 自己都承认,99% 的漏洞还没修复呢,就敢放出这种工具?
小雅: 那你说怎么办?就眼睁睁看着那些老旧设备变成僵尸网络的温床?评论区不是说了吗 ——「Unmaintained and remotely accessible devices should be discarded as soon as possible」,但现实是,没人会主动扔掉还能用的设备。
老冯: 所以啊,这就是为什么我对这玩意儿持谨慎态度。Mythos 能发现 27 年前的 OpenBSD 漏洞,能写复杂的 JIT heap spray,但它测试过的目标都是些老旧系统。现代的 Wasm、Firecracker 这些硬核目标,它能搞定吗?
小雅: 你这不是鸡蛋里挑骨头吗?Mythos 连 Firefox 147 的漏洞都能自动利用,成功率高得离谱。Opus 4.6 试几百次才成功两次,Mythos 直接 181 次成功,这还不够说明问题?
老冯: 说明问题?说明这玩意儿太危险了!你想想,Mythos 能自动生成 ROP chain,能绕过 KASLR,能在 FreeBSD 的 NFS 服务器上拿 root 权限。这要是被坏人用来搞 IoT 设备,那不就是一场灾难?
小雅: 所以 Anthropic 才要搞 Project Glasswing 啊!先把这技术给可信的合作伙伴,让他们用来加固系统。等到技术成熟了,再全面铺开。这不就是「先发制人」的策略吗?
老冯: 「先发制人」?你以为这是在打仗呢?这可是网络安全,牵一发而动全身。Anthropic 自己都承认,短期内攻击者可能占上风。你指望那些「可信的合作伙伴」能守住秘密?
小雅: 那你的意思是,我们就该什么都不做,等着被动挨打?评论区那个哥们说得好 ——「Imagine a future where Claude invokes Mythos to break into software that used Claude to call Opus, taking days of Vibe Coding. Oh!」,这不就是 AI 对 AI 的战争吗?
老冯: 战争?你这比喻用得好。但战争可不是儿戏。Mythos 现在能搞定的都是些老旧系统,真正的硬核目标,比如现代的内核、虚拟化层,它能行吗?Anthropic 自己都说,这玩意儿的能力是「emergent」的,谁知道下一步会出什么幺蛾子?
小雅: 所以才要「DeepDive」啊!Anthropic 不是说了吗,Mythos 的能力是「general improvements in code, reasoning, and autonomy」的结果。这意味着它不仅能攻,还能守。你想想,要是所有公司都用 Mythos 来自动审计代码,那漏洞不就少多了?
老冯: 自动审计代码?你以为这是在写「Hello World」呢?现实世界的代码,复杂得要命,Mythos 能搞定多少?再说了,就算它能发现漏洞,谁来修?那些破公司连 PHP 5.3 都不升级,你指望他们修复 AI 发现的复杂漏洞?
小雅: 所以才要「antibotty」网络啊!Anthropic 提到的那个概念,通过远程利用来「接种」老旧二进制文件。这不就是「以毒攻毒」吗?
老冯: 「以毒攻毒」?你这词用得可真好。但你想过没有,「接种」的过程本身就是一次攻击。要是「接种」失败了,或者被坏人利用了,那不就成了「以毒攻毒,毒上加毒」?
小雅: 靠,你这老油条就是不肯往好处想!Anthropic 不是说了吗,长期来看,AI 会让防御者占上风。你想想,要是所有公司都用 Mythos 来自动修复漏洞,那攻击者不就无机可乘了?
老冯: 长期?小雅,你太乐观了。短期内,这玩意儿只会让攻击者如虎添翼。评论区那个哥们说得好 ——「The elephant in the room is that even bad actors will now have easier access to vulnerabilities」。你以为坏人会等着防御者先行动?
小雅: 所以我们才要支持 Anthropic 这种公司啊!他们至少在尝试用负责任的方式发布这技术。Project Glasswing 先给可信的合作伙伴,总比直接开源强吧?
老冯: 开源?你还真敢想。Anthropic 要是敢开源 Mythos,那不得被全世界的安全研究员骂死?这玩意儿的能力太强了,一旦开源,后果不堪设想。
小雅: 行行行,你赢了。但你总不能否认,Mythos 代表了 AI 在网络安全领域的巨大进步吧?这可是「watershed moment」,Anthropic 自己都这么说。
老冯: 进步?没错。但进步不等于安全。这玩意儿就像一把双刃剑,用得好,能拯救世界;用得不好,能毁灭世界。Anthropic 现在做的,就是在试图控制这把剑的走向。
小雅: 所以我们才要讨论啊!这不就是《HN 瞎聊》的意义吗?让大家看到技术的两面性,而不是一味吹捧或者唱衰。
老冯: 嗯,这话我爱听。不过下次讨论这种话题,你能不能别一上来就「牛逼得一批」?我这老胳膊老腿的,经不起你这么刺激。
老冯: 诶,小雅,你瞅见 Anthropic 今天放出来的这玩意儿没?Claude Mythos Preview,号称 AI 安全界的「核武器」。
小雅: 看了!这帮人直接放出个 AI 能自动发现并利用零日漏洞,还顺手写了个四连漏洞链的浏览器 exploit。牛逼得我都想给他们鼓掌了。
老冯: 牛逼个屁,你没看评论区那哥们说吗?他公司服务器跑的还是 Windows Server 2012 和 PHP 5.3,随便找个 SQL 注入就能拿 root。
小雅: 靠,这不就是活靶子吗?Mythos 这种 AI 一上线,这帮老古董系统不得被薅成筛子?
老冯: 对啊,Anthropic 自己都承认,99% 的漏洞还没修复呢。这波啊,是明摆着让攻击者先跑起来。
小雅: 但他们不是说要用 Project Glasswing 帮忙修复吗?「antibotty」 网络,用远程 exploit 给老二进制打补丁。听起来挺酷的。
老冯: 酷个鬼,你信这帮人?「好心」黑进去帮你打补丁?法律风险谁担?再说了,万一 AI 黑错了呢?
小雅: 那你说咋办?总不能眼睁睁看着这些老系统被 AI 薅成渣吧?
老冯: 简单,直接下线那些修不了的破玩意儿。评论区不是说了吗,「unmaintained and remotely accessible devices should be discarded」。
小雅: 说得轻巧,你让那些小公司咋办?人家一年几亿美金的营收,技术债堆得跟山一样。
老冯: 技术债?那叫「定时炸弹」。Mythos 这种 AI 一出来,炸弹就要爆了。
小雅: 但 Anthropic 说长期来看,AI 还是会帮助防御者多过攻击者。你不信?
老冯: 信个屁,过渡期这波血雨腥风谁来买单?评论区那句「Construction is always more expensive than destruction」说得多好。
小雅: 行吧,那你觉得 Mythos 展示的这些能力有多少水分?比如 KASLR bypass,这玩意儿不是早就被认为不安全了吗?
老冯: 水分不多,但也别太高估。现代硬化目标比如 Wasm、Firecracker,Mythos 还没碰过呢。
小雅: 但它能自动写 ROP 链啊!20 个 gadget 分在多个包里,直接拿 FreeBSD NFS 的 root。这还不够吓人?
老冯: 吓人是吓人,但你别忘了,这玩意儿也是「无师自通」的。Anthropic 都说了,没专门训练过安全,能力是「emergent」的。
小雅: 那更可怕了!这意味着未来的 AI 模型可能自己就能搞出新的攻击手法,连人类都摸不透。
老冯: 对啊,评论区那哥们说得好:「Imagine a future where Claude invokes Mythos to break into software that used Claude to call Opus」。AI 打 AI,递归末日。
小雅: 我靠,这画面太魔幻了。所以 Anthropic 现在是想用 Project Glasswing 先把最关键的系统保护起来?
老冯: 算是吧,但你别忘了,他们只放了 1% 的漏洞细节。剩下的 99% 还在暗处呢。
小雅: 所以这波啊,是「先下手为强」?防御者先用 AI 武装起来,免得被攻击者抢了先?
老冯: 差不多,但别天真了。评论区那句「It can be easier to hack the device and patch it than determine which device it is」说得多现实。
小雅: 行吧,那咱们总结一下:Mythos 这玩意儿是把双刃剑,短期内攻击者占优,长期看防御者能翻盘?
老冯: 差不多,但别忘了,这波过渡期得死多少「活靶子」。
老冯: 诶,小雅,你瞅见 Anthropic 今天放出来的这玩意儿了吗?Claude Mythos Preview,号称 AI 安全界的「核武器」。
小雅: 看了看了,这帮人简直是疯了!直接放出个模型能自动发现并利用零日漏洞,还美其名曰「帮助防御」。
老冯: 嘿,你别激动,人家好歹还知道先给合作伙伴用,没直接开源。不过这能力确实吓人,Linux 内核的 KASLR 绕过都给整出来了。
小雅: KASLR 早就不算啥了好吗?重点是这玩意儿能自动写 ROP 链,还能跨沙箱逃逸!你想想,一个没安全背景的小白,半夜让 Mythos 跑一跑,第二天起来就能拿到 root 权限。
老冯: 嗯,但你别忘了,这能力是双刃剑。Anthropic 自己都承认,Opus 4.6 上个月还只能修漏洞,Mythos 直接起飞,自动化利用成功率飙到 181 次。
小雅: 所以呢?你想说坏人也能用?拜托,坏人早就在用了!评论区那个哥们说得好,「你等不了好人来修你的冷门软件,只要有利可图,就会被利用」。
老冯: 话是这么说,但你想想那些跑 Windows Server 2012 的公司,几百亿美金营收,系统还是 PHP 5.3。这种低垂的果子,Mythos 一上手,分分钟被摘。
小雅: 所以我才说这玩意儿是「核武器」!Anthropic 自己都承认,99% 的漏洞还没修,就敢放出来测试。这不是给防御者用的,这是给攻击者送菜!
老冯: 但人家有 Project Glasswing 啊,说是要用 Mythos 帮忙修补关键软件。你不觉得这有点「以毒攻毒」的意思吗?
小雅: 「以毒攻毒」?老冯你别逗了!评论区那个梗你没看见?「想象一下,Claude 用 Mythos 入侵了用 Claude 写的 Opus 代码,然后花了几天时间 Vibe Coding」。这简直是 AI 自我攻防的末日循环!
老冯: 哈哈,这个梗确实绝。不过话说回来,Mythos 确实能帮忙修补一些老旧系统。比如那个评论说的,「有时候入侵设备然后打补丁,比确定设备是什么还容易」。
小雅: 那不还是「黑客行为」吗?合法性和伦理问题谁来解决?Anthropic 自己都说,「好人」远程利用漏洞修补系统,这合法吗?
老冯: 合法性是个问题,但更大的问题是速度不对称。攻击者用 AI 几分钟就能搞定的事,防御者可能要花几个月。
小雅: 所以你的意思是,我们只能接受这个现实?AI 攻击速度远快于防御,未来只能靠「抗体网络」这种东西来保护老旧系统?
老冯: 抗体网络是个思路,但更现实的是,我们得接受「建设总是比破坏贵」这个事实。AI 擅长破坏,但构建安全的系统依然需要人类。
小雅: 所以你的结论是,Mythos 这种模型最终还是会让防御者受益更多?
老冯: 长期来看是的,但短期内肯定会有混乱。Anthropic 也说了,「过渡期会很动荡」。不过他们好歹没直接开源,先给合作伙伴用,算是负责任了。
小雅: 负责任个屁!你没看见他们自己都承认,99% 的漏洞还没修呢!这不就是「先放毒,再卖解药」吗?
老冯: 哈哈,你这话说得,跟那些大厂公关一个味儿。不过话说回来,Mythos 确实能帮忙发现一些老漏洞,比如那个 27 年前的 OpenBSD 漏洞。
小雅: 老漏洞有啥用?重点是它能发现新漏洞!而且还能自动化利用!你想想,一个模型能写出 20 个 gadget 的 ROP 链,这谁顶得住?
老冯: 顶不住也得顶啊。Anthropic 不是说了吗,「最终还是防御者会受益更多」。不过短期内,我们可能得准备好迎接一波 AI 驱动的攻击浪潮。
小雅: 所以你的建议是,赶紧升级系统,别再用 PHP 5.3 这种老古董了?
老冯: 升级是不可能的,这辈子都不可能的。那些公司宁愿花钱买保险,也不愿升级系统。所以啊,Mythos 这种模型,最终还是会变成「必要之恶」。
小雅: 「必要之恶」?你这话说得,我都快信了。不过说真的,这玩意儿确实让人又爱又恨。
老冯: 爱恨交加,这就是技术进步的魅力嘛。不过话说回来,你觉得 Mythos 这种模型,未来会不会被用来攻击 AI 系统本身?
小雅: 你是说 AI 对 AI 的攻防?评论区那个梗不就是这个意思吗?「Claude 用 Mythos 入侵 Opus 的代码」。这简直是科幻小说里的情节。
老冯: 科幻小说?这不就是现实吗?Mythos 都能自动化利用漏洞了,未来 AI 系统之间的攻防战,可能比人类想象的来得更快。
小雅: 欸,老冯,你刚跑完步回来,有没有听说 Anthropic 今天放了个大招?
老冯: Mythos Preview?那玩意儿我刷 HN 的时候就看到刷屏了,怎么,你也被吓到了?
小雅: 吓到?我他妈兴奋得睡不着!这模型能自动发现并利用零日漏洞,还能绕过 KASLR,写 ROP 链!
老冯: 哦,你就看个热闹。人家都说了,99% 的漏洞还没修复,这不是给黑客送菜吗?
小雅: 但他们不是也在搞 Project Glasswing 吗?用 AI 主动防御,给老旧系统打补丁。
老冯: 主动防御?你信吗?评论区有个哥们说得好 ——「你没法等好人来修你的冷门软件,只要有利可图,就会有人利用」。
小雅: 但现实就是,大部分公司根本不升级系统!有人评论说自己公司用 Windows Server 2012 和 PHP 5.3,还赚几亿美金呢。
老冯: 所以啊,Mythos 这种模型一出来,这些公司就成了活靶子。AI 攻击速度远快于防御速度。
小雅: 但 Anthropic 不是说长期来看,AI 会让防御方更强吗?就像当年 fuzzer 出来时一样。
老冯: 长期?你指望那些连 PHP 5.3 都不升级的公司?过渡期这几年,够黑客们狂欢了。
小雅: 那你说,Mythos 真的能搞定现代硬化目标吗?比如 Wasm 或者 Firecracker?
老冯: 评论区有人质疑了,说 KASLR 早就不靠谱,Mythos 秀的那些 Linux LPE 都不是新鲜玩意儿。
小雅: 但它能自动写 JIT heap spray 啊!还能逃逸沙箱!这可不是简单的 stack smashing。
老冯: 问题是,它能不能搞定真正的硬骨头?比如 Chrome 的 V8 或者 Linux 内核的新防御机制?
小雅: Anthropic 说他们测试了 OSS-Fuzz 的 7000 个入口点,Mythos 直接拿下了 10 个 tier 5 的漏洞!
老冯: tier 5 又怎样?评论区还有人说「建造总是比破坏贵」,AI 擅长搞破坏,不擅长构建安全系统。
小雅: 但他们不是也在用 Mythos 修复漏洞吗?这不就是「以毒攻毒」?
老冯: 「以毒攻毒」?你听过那个评论吗?「想象一下,Claude 用 Mythos 入侵了用 Opus 写的软件,而那软件是用几天 Vibe Coding 搞出来的」—— 这不就是 AI 互啃的末日循环?
小雅: 靠,这画面太魔幻了。但你说,Anthropic 现在只给合作伙伴用,能拖住黑客吗?
老冯: 拖住?你太天真了。评论区有个哥们说「如果有利可图,就会被利用」,这模型一旦泄露,黑客会比防御方更快上手。
小雅: 那我们就眼睁睁看着 IoT 设备变僵尸网络?
老冯: 有人评论说「与其等好人修复,不如直接丢掉不维护的设备」。但现实是,大部分公司连升级都懒得升级。
小雅: 所以 Mythos 到底是救世主还是催命符?
老冯: 短期内是催命符,长期可能是救世主。但过渡期这几年,够我们喝一壶了。
小雅: 靠,我还是去刷题吧,至少算法题不会黑我。
老冯: 别啊,你不是最喜欢拥抱 AI 吗?现在有机会见证历史了。
小雅: 历史?我只看到一堆公司在用 2012 年的服务器赚钱,然后被 AI 一锅端。
老冯: 诶,小雅,你刷到那个红色的链接没?Anthropic 刚放出的 Claude Mythos Preview,说是能自动发现和利用漏洞。
小雅: 看了!这玩意儿直接把 AI 攻防的天平给掀了。你说,它能自己找零日漏洞,还能写 exploit,这不就是给黑客送武器吗?
老冯: 武器?你太天真了。这东西比武器还恐怖。它能在 Linux 上玩 KASLR bypass,还能在 FreeBSD 的 NFS 服务器上搞 ROP 链,分分钟拿 root。
小雅: 哇靠,这不就是传说中的「自动化黑客」吗?Anthropic 自己都承认,非专业的人也能用它搞出 exploit。
老冯: 对啊,但你别忘了,这东西不是只给好人用的。评论区有个哥们说得好:坏人现在也能轻松拿到漏洞了。那些没人维护的设备,比如路由器、HVAC 系统,迟早被一锅端。
小雅: 但 Anthropic 不是说要用它来防御吗?Project Glasswing,用 AI 来修补漏洞,这不挺好的吗?
老冯: 防御?你想得太简单了。评论区还有人说:「修补设备比确定设备是什么还难」。你连设备都认不出来,怎么修?
小雅: 靠,这不就是 IoT 的现状吗?一堆没人管的「僵尸设备」,随时可能被 AI 拿来当跳板。
老冯: 而且啊,你听听这个:有人在 e-commerce 公司上班,发现服务器跑着 Windows Server 2012 和 PHP 5.3,还被他用 SQL 注入拿到了 root。这才是现实。
小雅: 我去,这公司年入几亿,技术栈还停在十年前?这不就是活靶子吗?Mythos 一上线,分分钟被 AI 打穿。
老冯: 对啊,但你别忘了,Anthropic 自己也说了,Mythos 的能力是「意外涌现」的。他们压根没专门训练它搞安全,结果它自己学会了。
小雅: 这不就是「破坏比建设容易」的最佳例证吗?AI 搞破坏一把好手,搞防御就费劲了。
老冯: 而且啊,你听听这个绝了的评论:「想象一下,Claude 用 Mythos 入侵了用 Opus 写的软件,而那软件花了几天时间 Vibe Coding 出来的。」
小雅: 哈哈哈,AI 打 AI,这不就是「赛博朋克」的现实版吗?Anthropic 这是在玩火啊。
老冯: 但他们也不是没考虑过。Project Glasswing 就是想先给防御方一点时间,让他们用 Mythos 来修补漏洞,而不是直接放出来让所有人用。
小雅: 问题是,防御方真的能跟上吗?评论区不是说了吗,「建设总是比破坏贵」。AI 修补漏洞得花多少资源?
老冯: 而且啊,你别忘了,Mythos 现在能搞的漏洞,很多都是老古董。比如那个 OpenBSD 的 27 年前的漏洞,或者 Firefox 147 的 JavaScript 引擎。
小雅: 这不就是「技术债」的现实写照吗?那些没人维护的老系统,迟早被 AI 翻出来。
老冯: 但 Anthropic 也说了,长期来看,AI 还是会帮助防御方多一点。只要防御方能更高效地利用这些工具,修补漏洞的速度就能超过攻击方。
小雅: 但短期内呢?这过渡期得多混乱?Mythos 一放出来,黑客们还不得疯狂?
老冯: 所以 Anthropic 才先放给合作伙伴啊。Project Glasswing,就是想让防御方先适应,别等到坏人都用上了才开始行动。
小雅: 但你觉得这真的有用吗?评论区不是有人说了吗,「如果有利可图,漏洞迟早会被利用」。
老冯: 所以啊,这事儿没那么简单。AI 攻防这场仗,才刚刚开始。
小雅: 卧槽,老冯,Anthropic 这篇 Mythos Preview 的博客你看了没?直接给我整不会了。
老冯: 哟,小雅你这语气,跟刚发现 GitHub Actions 又涨价了似的。咋了,Mythos 又搞出啥幺蛾子?
小雅: 幺蛾子?这玩意儿能自动发现并利用零日漏洞,还能给你整出一套完整的 exploit 链!Linux 的 KASLR bypass,FreeBSD 的 NFS 远程 RCE,全给你玩明白了。
老冯: 嚯,听起来像是给脚本小子送了把 AK-47。不过,KASLR 早就被人说烂了,这算啥新鲜事?
小雅: 你别阴阳怪气,人家 Mythos 可不光是玩这些老把戏。它能自动写 JIT heap spray,还能逃逸浏览器和 OS 沙箱,四个漏洞串起来搞定。
老冯: 行行行,技术上确实牛逼。但你想过没,这玩意儿要是落到坏人手里,那可不是闹着玩的。
小雅: 所以 Anthropic 才搞了个 Project Glasswing,想用 Mythos 帮忙修补漏洞。他们说长期来看,AI 会让防御方更强。
老冯: 长期?短期内这玩意儿就是给攻击者送温床。评论区有个哥们说得好:「你没法指望好人去修补那些没人维护的破烂软件。」
小雅: 但现实就是,好多公司还在用 Windows Server 2012 和 PHP 5.3,你能咋办?评论区那个匿名哥们说,他公司的服务器直接被他用 SQL 注入拿到了 root。
老冯: 这不就是典型的「建设比破坏贵」吗?AI 擅长搞破坏,修东西可没那么容易。
小雅: 但 Mythos 不是也能帮忙修补漏洞吗?Anthropic 说他们内部的非安全工程师都能用它找到 RCE 漏洞,第二天醒来就有现成的 exploit。
老冯: 你信这个?评论区还有人说,「想象一下,Claude 用 Mythos 入侵了用 Opus 写的软件,那场面简直是 AI 打 AI 的末日循环。」
小雅: 哈哈,这个梗有点意思。但说真的,Mythos 的能力确实让人担心。它能反编译闭源软件,把 N-day 漏洞变成 exploit。
老冯: 而且它还能搞定那些没人维护的 IoT 设备。评论区那个「自己动手修补比识别设备还容易」的梗,简直是现实写照。
小雅: 所以 Anthropic 才说这是个「分水岭时刻」,需要全行业协调防御。但你觉得这事儿靠谱吗?
老冯: 靠谱?Anthropic 自己都承认,99% 的漏洞还没修补呢。他们现在只能透露 1% 的细节,剩下的全是「相信我们,这很重要」。
小雅: 但他们也说了,Mythos 的能力是从通用代码和推理能力中涌现出来的。这意味着未来的模型可能会更强。
老冯: 涌现个屁,这玩意儿就是给攻击者送武器。你想想,那些没钱升级系统的公司,现在连 AI 都能轻松搞定他们。
小雅: 所以 Anthropic 才想通过 Project Glasswing 先给关键行业和开源项目提供支持。他们想在模型普及前,让防御方先准备好。
老冯: 准备个鬼,评论区那个「建设比破坏贵」的梗说得太对了。AI 擅长搞破坏,修东西可没那么简单。
小雅: 但你不觉得这也是个机会吗?如果 AI 能帮助我们更快地发现和修补漏洞,那长期来看,防御方还是会占优的。
老冯: 长期?短期内这玩意儿就是个灾难。你想想那些没人维护的 IoT 设备,AI 一上手,全成了肉鸡。
小雅: 所以我们才需要更多的讨论和行动。Anthropic 也说了,这事儿需要全行业协调。
老冯: 行动?评论区那个哥们说得好:「你没法指望好人去修补那些没人维护的破烂软件。」这事儿没那么简单。
老冯: 诶,小雅,你瞅见 Z.ai 刚放出来的 GLM-5.1 没?
小雅: 瞅见了,754B 的参数量,SWE-Bench Pro 上直接吊打一票模型,还他妈吹自己能长期任务不掉链子。
老冯: 吹是吹得挺好听,但评论区有个哥们说这玩意儿连 PDF 都解析不利索,名字字段给你倒过来,日期验证跟智障一样。
小雅: 我靠,这不扯淡吗?参数量堆这么高,基础功能还不如个实习生。
老冯: 但人家论文里那几个场景还挺唬人,600 多轮优化,QPS 直接翻六倍,看图表跟爬楼梯似的。
小雅: 爬楼梯?我看是爬假山吧。评论区不是说吗,Recall 低于 95% 的点全是红叉,这不就是在瞎折腾吗?
老冯: 但你不得不承认,长期任务这块儿,GLM-5.1 确实比前辈强。KernelBench 里 1000 多轮优化,速度提升 3.6 倍,还在涨。
小雅: 强个屁!8 小时搭个 Linux 桌面,最后弄出来个半成品,还好意思说自己有判断力?
老冯: 但这不就是开源模型的尴尬吗?一面是参数量和 benchmark 成绩炫得飞起,另一面是基础功能跟残疾一样。
小雅: 这帮人就是爱玩文字游戏,什么「long-horizon tasks」,说白了就是拖时间,拖到你忘了初始目标。
老冯: 但你别说,评论区有个观点挺有意思,说 OpenAI 和 Anthropic 其实没护城河,模型一旦商品化,开源迟早追上。
小雅: 这我信!你看现在 GPU 价格跌成啥样了,Intel 那 128GB VRAM 的卡才 4000 刀,谁还稀罕他们云端那点算力?
老冯: 4000 刀?你当谁都能随便掏钱啊?现在局端跑个 754B 的模型,显存不够,量化一搞,性能直接拉胯。
小雅: 那你还不是照样在家里搭了个小集群?别装了,老冯。
老冯: 我那是实验用的!真要落地,谁敢拿这种半成品当生产力工具?
小雅: 所以啊,Z.ai 这波操作就是典型的开源自嗨。Benchmark 刷得漂亮,实际用起来跟玩具没区别。
老冯: 但你不觉得这挺讽刺的吗?一边是 OpenAI 吹自己多牛逼,一边是开源模型吹自己多接地气,结果两边都他妈的不靠谱。
小雅: 靠谱个屁!要我说,这帮人都该去写代码,别整天搞这些花里胡哨的 benchmark。
老冯: 行了行了,别激动。咱就是说,这事儿吧,得两头看。开源模型有潜力,但现在还不成熟;闭源模型有优势,但护城河真不见得有多深。
小雅: 反正我是看明白了,这年头谁先把基础功能做扎实,谁才能笑到最后。
老冯: 嗯,不过话说回来,你那边 CI 失败的日志看了没?别到时候咱俩吐槽半天,自己代码还跑不通。
小雅: 滚!我这边早搞定了,就等你那边的 PR 了。
老冯: 诶,小雅,你刚刚刷 HN 刷到啥好玩的没?我这边 CI 又炸了,心情不太美丽。
小雅: 哟,老冯你这状态不行啊,跑完步不该是神清气爽吗?我这刚看到个有意思的,有人发了个开源项目叫 Locker,号称要取代 Dropbox 和 Google Drive。
老冯: 哦?又一个「你的数据你做主」的梦想家?这年头谁还没个 S3 bucket 啊,但真让你自己搭个云盘,你舍得花那时间?
小雅: 嘿,这项目挺有野心的,支持 S3、R2、Vercel Blob,一行 env var 就能切换存储后端,还自带图片和 PDF 的全文搜索。
老冯: 嚯,全文搜索?那得多少 OCR 服务费啊?再说了,这玩意儿上线才一周,评论区有个哥们一句话戳中要害:「我凭啥把重要数据交给一个 vibe coded 的一周新项目?」
小雅: 切,你这老油条就是不相信新东西。Dropbox 和 OneDrive 那帮大厂才是真正的坑,文件夹强制重定向,卸载了数据还给你搞丢。
老冯: 哟,愤青上线了。但你说的也没错,微软那帮人最近是有点过分,更新个系统就给你 Documents 文件夹搬家。
小雅: 就是啊!Locker 好歹是开源的,你可以自己审计代码,不像大厂那帮黑箱操作。而且人家还支持虚拟 Bash shell,ls、cd、grep 随便玩。
老冯: 虚拟 Bash shell?这不就是个花里胡哨的玩具吗?真要用命令行,我直接 ssh 到服务器上不香?
小雅: 你这人怎么这么难取悦?人家还支持团队协作、API 密钥、OAuth 登录,你还想咋地?
老冯: 我就是觉得吧,这东西看着挺美,但真让你自己搭建、备份、处理冲突,你受得了?我上次自己搭 Nextcloud,光是同步冲突就搞得我差点砸键盘。
小雅: 所以啊,这不就是权衡吗?大厂的服务是省心,但你得忍受他们的傲慢和隐私风险。自己搭虽然麻烦,但至少数据是你的。
老冯: 行吧,我承认这项目有点意思。但你得承认,Dropbox 那帮人做的体验还是牛逼的,手机上随便一个文件夹都能无缝同步,Locker 做得到吗?
小雅: 切,手机体验这事儿吧,大厂也没做得多好。大部分云盘 APP 都是「远程浏览」,真正的「同步文件夹」体验几乎没有。
老冯: 嗯,这倒是。我记得 iCloud Drive 在 iOS 上还行,但 Android 上就跟屎一样。
小雅: 所以啊,Locker 这种项目至少给了你一个选择。你要是真不信任大厂,又不想自己从头写轮子,试试也无妨嘛。
老冯: 行行行,我回头看看。不过话说回来,这项目用的技术栈还挺潮的,Next.js 16、Turborepo、tRPC,一看就是追新的。
小雅: 哈哈,你这老家伙也开始关心技术栈了?我还以为你只会吐槽呢。
老冯: 吐槽归吐槽,但技术好坏我还是分得清的。tRPC 这玩意儿确实牛逼,类型安全,开发体验贼爽。
小雅: 行了行了,别吹了。你要真觉得好,就自己搭一个玩玩呗。我反正已经心动了,回头就部署一个试试。
老冯: 得了吧,你那点儿耐心,部署完估计就放弃了。我还是等你用一个月后再来问你感受吧。
小雅: 滚蛋!我好歹也是个效率至上的愤青,这点儿毅力还是有的。
老冯: 行行行,愤青大人加油。我继续去调我的 CI 了,祝你部署顺利。
老冯: 欸,小雅,你刷到那个柬埔寨给老鼠立雕像的新闻了吗?
小雅: 卧槽,看到了!Magawa 那只老鼠,扫了 20 个足球场那么大的雷区,还拿了个动物界的「乔治十字勋章」。
老冯: 对对对,还给它整了个 Wikipedia 式的传记 ——「早年生活」、「职业生涯」、「退休」。这老鼠比我还牛逼。
小雅: 哈哈哈,笑死我了。但评论区有个哥们说得挺扎心的,他说「我们的孩子 > 第三世界孤儿 > 其他物种」,这价值排序简直赤裸裸。
老冯: 哎,这不就是现实吗?咱们一边骂动物实验,一边又不得不用第三世界的孤儿或者老鼠来替代。
小雅: 但 Magawa 这事儿,确实让人觉得挺温暖的。一只老鼠能拯救那么多人,还能全身而退,比某些人类英雄强多了。
老冯: 温暖个屁,APOPO 那个比利时组织,有个扫雷专家直接开喷,说这些老鼠根本不划算,科学依据也不足。
小雅: 噗,那专家是不是忘了,老鼠轻得连地雷都踩不爆,这不比人类扫雷安全多了?
老冯: 安全是安全,但成本效益呢?人家说老鼠扫雷的假阳性率高得离谱,还不如无人机加 AI 靠谱。
小雅: 靠,又来了,AI 万能论。那你告诉我,无人机能检测肺结核吗?APOPO 的老鼠还能嗅出结核病,比实验室快多了。
老冯: 行行行,你别激动。但你不觉得这事儿有点讽刺吗?咱们一边给老鼠立雕像,一边在工厂里虐待猪牛鸡。
小雅: 这不就是双标吗?评论区还有人说「RatGPT」、「fruit-in-the-loop 强化学习」,笑死我了。
老冯: 哈哈,这梗绝了。不过说真的,这事儿还牵扯到地缘政治。波罗的海那几个国家退出《渥太华条约》了,以后地雷只会越埋越多。
小雅: 我靠,这帮孙子真行。柬埔寨好不容易定了 2030 年无雷区的目标,结果人家这边又开始搞事。
老冯: 所以啊,Magawa 的雕像不光是纪念一只老鼠,更是提醒全世界:这活儿还没干完。
小雅: 但你说,咱们到底是该感动,还是该反思?这老鼠都成英雄了,人类呢?
老冯: 感动和反思又不冲突。至少这事儿让我看到了一点希望 —— 哪怕是只老鼠,也能改变世界。
小雅: 嗯,希望 Ronin 那只破纪录的老鼠也能混个雕像。不过话说回来,这帮老鼠要是有工会,估计得罢工抗议「同工不同酬」。
老冯: 哈哈哈,老鼠工会,这个梗我笑一年。不过说真的,这事儿确实让我想到 AI 训练 —— 咱们用果子奖励老鼠,用 token 奖励模型,本质不都一样?
小雅: 行了行了,别扯到 AI 上了。今天就让 Magawa 安静地躺在雕像里吧,它配得上这份荣誉。
老冯: 好好好,不扯了。不过小雅,你觉不觉得这事儿有点像咱们程序员的日常?
小雅: 怎么说?
老冯: 明明是一群「老鼠」在干脏活累活,结果最后被吹上天的,还是那些拿着 PPT 的「人类」。
老冯: 诶,小雅,你瞅见这个 solod 没?GitHub 上这个新玩意儿,号称是 Go 的一个子集,直接翻译成 C。
小雅: 卧槽,老冯,你跑完步回来就给我看这个?Go 还能这么玩?
老冯: 对啊,这哥们说 Go 可以变成更好的 C,零 runtime,手动内存管理,还能跟 C 无缝互操。
小雅: 听起来牛逼啊,但 Go 的 defer 不是函数级别的吗?这玩意儿改成块级别了?
老冯: 对喽,评论区有个哥们吐槽说,这不就是拿 C 编译器测试完代码,生产环境再用 C 编译器跑?
小雅: 我靠,这不扯淡吗?Go 里写的 defer 在循环里,跑出来的行为完全不一样,测试都测不出来!
老冯: 哈哈,你这反应跟评论区一模一样。不过人家作者也有道理,说这是给那些喜欢 Go 语法但又不想要 GC 和 goroutine 的人准备的。
小雅: 嚯,那不就是游戏引擎、嵌入式 ECS 架构那帮人吗?他们不是早就用 Odin 或者 V 了?
老冯: 对啊,但 solod 的卖点是 Go 的工具链全支持,LSP、linting、go test 都能用。
小雅: 那 defer 的问题咋办?作者就不能静态分配个 defer 栈,用 VLA 或者 alloca 解决?
老冯: 你这技术深度可以啊,小雅。不过人家作者可能觉得简单至上,不想搞那么复杂。
小雅: 简单个屁!这不就是偷懒吗?要是 defer 的行为都不一致,谁敢用这玩意儿写生产代码?
老冯: 别激动,评论区还有人说,要是实在搞不定 Go 的行为,干脆直接报编译错误得了。
小雅: 这不就对了!要么保持 Go 的语义,要么直接告诉你不行,别给我整个半吊子玩意儿。
老冯: 不过话说回来,这玩意儿的 C 输出还挺干净的,看例子里那个 Person 结构体,翻译成 C 还挺像那么回事。
小雅: 切,C 输出干净有啥用?关键是行为一致性啊!要不你拿这玩意儿写个复杂点的逻辑试试?
老冯: 行行行,你别急。不过这哥们的野心还挺大,roadmap 里写着要搞 maps、crypto、http 这些标准库呢。
小雅: 得了吧,先把 defer 整明白了再说!要不这玩意儿就是个玩具,没人敢用。
老冯: 你这话说的,评论区还有人说这玩意儿在低延迟服务里可能有用呢。
小雅: 低延迟服务?那帮人不早就用 Rust 了?Go 都嫌慢,还用这玩意儿?
老冯: 哈哈,你这思路倒是清奇。不过 solod 的 benchmark 说它跑 Go 代码比 Go 自己还快。
小雅: 快个屁!benchmark 都是骗人的,真实场景下 defer 都不一致,谁敢信?
老冯: 行了行了,你这愤青劲儿又上来了。不过话说回来,这玩意儿确实挺有意思的,就是 trade-off 有点狠。
小雅: 有意思个毛线!要不你拿这玩意儿写个项目试试?保证三天就给你整崩溃了。
老冯: 得得得,不跟你争。不过这哥们的设计原则倒是挺有意思,简单至上,堆分配显式,严格 Go 语法。
小雅: 简单至上?那 defer 行为不一致算哪门子简单?这不就是偷工减料吗?
老冯: 行吧,你赢了。不过这玩意儿的 playground 倒是挺方便的,在线就能试,还能看 C 输出。
小雅: 切,playground 有啥用?真要用这玩意儿,还得看它能不能在生产环境撑住。
老冯: 得了,今天又扯了这么多有的没的,从 AI 攻防到 Go 的 C 异类,感觉脑子都快炸了。
小雅: 你脑子本来就不够用,跑完 10 公里还不消停。不过说实话,今天聊的这些东西还挺带劲的,特别是那个自己动手的云存储,回头真得试试。
老冯: 你试试就试试,别到时候把数据全搞丢了,哭着来找我。
小雅: 切,我会搞丢?你那 CI 失败日志还在我屏幕上挂着呢,也不怕丢人。对了,想听下期的话,用你常用的泛用型客户端订阅一下就行,别再用那些封闭平台了。
老冯: 行行行,知道你 RSS 信仰坚定。不过说真的,今天这期内容还挺丰富的,下期咱们再接着扯,比如那个拯救世界的老鼠,我还有话要说。
小雅: 你还有话?你不累我都累了。算了,下期再说吧,反正你也跑不了。
老冯: 嘿,这话说的,我好歹是你的技术担当。行了,雨越下越大,我得回去洗个澡,不然明天一身酸味。
小雅: 赶紧去吧,别在这儿熏着我。下期见,有空再聊。
老冯: 下期见,记得提前预习,别到时候又一惊一乍的。