Depthfirst 声称比 Anthropic Mythos 更便宜的 AI 漏洞挖掘——为何加密基础设施应引起关注

2026 年 5 月 12 日，AI 安全初创公司 Depthfirst 表示，其自主漏洞发现模型已经发现了 Anthropic 的 Mythos 项目未能发现的多个高危互联网漏洞——而且其成本仅为 Mythos 的十分之一左右。Depthfirst 的首席执行官 Qasim Mithani 将这种方法定义为任务专业化优化：构建一个针对漏洞发现进行高度优化的模型架构，以便“1000 美元的计算量就能达到 10000 美元才能达到的效果”。

对于区块链和加密行业来说，重点并非“谁发现了更多漏洞”。真正值得关注的是，发现和武器化漏洞的经济学正在崩溃。这一转变改变了所有涉及私钥的威胁模型：RPC 网关、质押仪表板、交易所热钱包管道、DeFi 前端，甚至用于签名交易的浏览器和操作系统。

新的安全现实：AI 降低了零日漏洞的边际成本

AI 驱动的漏洞发现正迅速从“辅助”转向“代理”：模型可以搜索代码库，推理其可利用性，并以最少的人工干预迭代至概念验证条件。Anthropic 本身已将 Mythos 级别的能力描述为自主发现和利用工作流程中的重大变革（请参阅 Anthropic 在 Project Glasswing 下关于 Mythos Preview 的介绍：Claude Mythos Preview）。

Depthfirst 的说法增加了第二个加速因素：成本效益。如果一个专业化的模型能够以约 10% 的花费产生可比的发现，那么：

• 防御团队可以更频繁地扫描更多代码。
• 攻击者也可以这样做——包括以安全边际更薄的加密基础设施为目标。

这与威胁情报的更广泛信号一致。谷歌的威胁团队警告称，AI 辅助的黑客攻击已经出现，其中包括被评估为涉及 AI 发现和武器化先前未知的“零日”风格漏洞的活动（关于谷歌警告的报道）。

Depthfirst 声称它发现了什么（以及为什么这些目标对 Web3 至关重要）

Depthfirst 的公告提到了广泛使用的软件中几类问题。即使尚未完全公开所有细节，提到的组件的类型正是 Web3 所依赖的：

1) NGINX：RPC、API 和仪表板的默认网关

Depthfirst 表示，他们在 NGINX 中发现了一个严重的漏洞，该漏洞存在时间很长（可追溯到 2008 年），可能影响大范围的互联网，预计当前维护者（F5）将很快发布补丁。

在加密领域，NGINX 通常位于以下服务的前面：

• RPC 端点（速率限制、缓存、路由、TLS 终止）
• 浏览器和索引器 API
• 托管和签名服务网关（内部管理面板、服务间入口）
• 交易所和经纪商的 Web 层

单个高影响力的 NGINX 问题可能成为“互联网范围扫描”事件。对于运营商来说，最实际的做法是持续监控上游公告，因为“补丁星期二”的思维在 AI 规模的发现面前已不再适用。从上游索引开始：NGINX 安全公告。

2) Linux：验证者节点、索引器和签名者大多运行在此

Depthfirst 还提到了一个严重的 Linux 漏洞，可能导致远程代码执行，据报道在披露时尚未完全修复。

无论具体漏洞存在于内核空间、常用库还是默认服务中，加密行业的结论是一致的：

• 大多数节点集群运行的是同质化的 Linux 镜像。
• 一旦存在可靠的漏洞利用，攻击者就可以从“一个盒子”转向“多个盒子”，尤其是当 RPC 节点暴露在外或内部网络扁平时。

如果您负责维护生产基础设施，请将漏洞接收与协调披露流程挂钩。美国政府关于协调漏洞披露的指导意见，为相关计划和响应工作流程提供了一个有用的基准：CISA 协调漏洞披露计划。

3) Chrome：钱包用户体验层是浏览器安全问题

Depthfirst 的声明还指出了 Google Chrome 中的漏洞，其中至少有一部分已被 Google 修复。

对于加密用户而言，浏览器实际上是签名边界的一部分：

• 钱包扩展和注入的提供者都存在于此处。
• 许多网络钓鱼攻击并非通过“破解加密”来成功——它们首先破解了浏览器信任层，然后诱骗用户进行签名。

在操作层面，最简单的控制措施仍然是最强大的措施之一：保持浏览器稳定更新，并在企业环境中强制执行版本合规性。通过官方渠道追踪上游修复：Chrome 版本。

4) FFmpeg：“非加密”库仍然会进入加密系统

Depthfirst 还提到了 FFmpeg 中的问题，这是一个开源多媒体框架。这听起来与区块链无关——直到您考虑实际的部署情况：

• 支持摄取用户内容（KYC 视频、支持附件、营销上传）的工具。
• 内部审核系统。
• 处理媒体的通知管道。
• 捆绑到更大平台映像中的任何“实用程序”微服务。

FFmpeg 自身的安全指导在此：FFmpeg 安全。

Web3 的教训是：攻击者不在乎一个库是否是“加密原生”的。他们在乎它是否可触达、可利用，以及是否能导向凭据、密钥或向签名系统的横向移动。

Depthfirst 的“开放防御倡议”：为何访问比品牌更重要

Depthfirst 还宣布了一项名为**“开放防御倡议”的新计划，承诺提供高达500 万美元**的访问/积分，使其 AI 漏洞检测工具可供企业和开源开发者使用。

如果这种模式（以及类似的模式）变得普及，我们应该会同时看到两种对立的影响：

• 开源安全性得到改善，因为维护者和防御者可以更早地发现错误。
• “bug 到 exploit”的压力更大，因为发现漏洞的速度比许多项目进行分类、修补和发布的速度更快。

这不是假设。即使在今天，漏洞生态系统也因其数量庞大而不堪重负。NIST 已公开讨论了其运营变更，以应对 CVE 记录和大规模优先级排序的创纪录增长（NIST NVD 更新）。

在 AI 加速的世界中，加密为何成为高价值目标

加密系统以其集中价值的方式，在利用成本降低时变得尤为吸引人：

1. 私钥将妥协直接转化为即时、不可逆的损失 服务器 RCE 或供应链后门可以直接导致签名权限、热钱包被耗尽或恶意更新。

2. 开源、可组合的堆栈扩大了攻击面 DeFi 和基础设施团队快速发布，重用依赖项，并集成第三方 SDK。AI 使搜索该依赖关系图中存在的薄弱环节变得更加容易。

3. Web3 在操作上是“始终在线”的 节点、索引器、中继器、桥接器和做市系统无法在不造成实际经济损失的情况下简单地暂停以进行长时间的补丁窗口——而这正是攻击者所利用的。

4. 攻击者已在适应 除了供应商公告之外，威胁情报报告现在指出，犯罪分子正在尝试使用 AI 来发现和运行以前未知的漏洞（Google 评估的报道）。

Web3 团队的实用防御清单

如果您运营加密基础设施（钱包服务、交易所、RPC 提供商、协议或 dApp），请将以下优先级视为“AI 时代的必备条件”：

1) 将面向互联网的组件视为可丢弃

• 使用不可变镜像、快速重建和蓝绿部署。
• 假定已受到攻击，并设计用于快速轮换。

2) 缩小签名授权周围的爆炸半径

• 将签名者与通用计算隔离。
• 严格划分网络；消除到签名主机的入站路径。
• 生产签名需要多种控制（策略 + 人工审查 + 速率限制）。

3) 从“扫描一切”转向“验证可利用性”

如果您的流程无法验证可达性和漏洞利用路径，AI 驱动的工具将使队列泛滥。确保您的管道能够回答：

• 在我们的部署中是否可达？
• 使用我们的配置是否可被利用？
• 是否涉及敏感信息、身份验证或签名？

4) 加固供应链

• 锁定依赖项并验证完整性。
• 在可能的情况下使用可复现的构建。
• 对发布进行签名并在部署时验证签名。
• 警惕构建时软件包（尤其是在 CI 中）的输入错误（typosquatting）。

5) 升级披露和事件响应能力

如果 AI 可以在一夜之间发现问题，您的组织需要：

• 快速分类
• 安全修补
• 清晰沟通
• 当错误存在于共享基础设施中时，向上游协调

CISA 的披露指南是项目结构和期望的一个良好起点：CISA 漏洞披露资源。

这对日常加密用户意味着什么

即使您不运行服务器，AI 加速的漏洞发现仍然会影响您，因为您的交易会接触到：

• 浏览器（网络钓鱼 + 浏览器漏洞）
• 操作系统（凭证窃取、剪贴板劫持、会话令牌窃取）
• 网站和 RPC 端点（恶意路由、注入内容）

两种简单的行为比以往任何时候都更重要：

1. 及时更新您的浏览器和操作系统 通过官方发布渠道跟踪 Chrome 的修复：Chrome 发布公告。

2. 将私钥与面向互联网的攻击面隔离 这就是硬件钱包能够切实降低风险的地方：即使您的计算机暴露于浏览器漏洞，精心设计的签名流程也会强制在设备上进行确认，并阻止原始私钥接触主机。

OneKey 的定位：AI 时代的纵深防御

AI 将加速双方（攻击者和防御者）的漏洞发现。在这种环境下，最具弹性的加密安全态势是分层的：

• 基础设施卫生（打补丁、分段、最小权限）
• 操作控制（签名策略、监控、事件响应）
• 用户端密钥隔离（硬件支持的签名）

对于注重自我托管的用户而言，OneKey 的核心价值主张直接契合这一现实：将私钥保存在通用设备之外，并在签名期间要求明确确认。随着浏览器、操作系统和 Web 服务器层在 AI 规模的漏洞发现下变得越来越不稳定，隔离密钥已不再是“最佳实践”，而成为严肃加密安全的基本要求。