Anthropic 7天連漏2次底褲：3千份內部文件+核心代碼

一家把"前所未有的網絡安全風險"寫進融資文件的公司，上周把自家博客后臺設成了公開可見。3000份內部文檔躺在那里，包括一份尚未發布的旗艦模型公告草稿。劍橋大學和LayerX的安全研究員發現了它。Fortune報道了它。Anthropic的回應是兩個字："人為失誤"。

五天后，Claude Code的源代碼出現在npm倉庫。第二次"人為失誤"。

同一周內，這家以"安全優先"自居的AI實驗室，連續兩次把自己最敏感的材料攤在陽光下。網絡安全板塊應聲血崩：Tableau跌9%，Okta跌超7%，CrowdStrike、Palo Alto Networks、Zscaler各跌約6%。iShares網絡安全ETF單日蒸發4.5%。

所有報道都在講諷刺。諷刺確實存在。但諷刺只是水面上的油花，真正的結構問題沉在水底——它解釋的不只是Anthropic的博客后臺為何失效，而是整個網絡安全行業的地基為何無法靠堆參數來加固。

沒人談這個。我試試看。

那個被所有人看到的諷刺

先把顯而易見的觀察放上臺面：一家警告世界"前所未有的網絡安全風險"的公司，沒給自己的博客CMS上鎖。一家即將向歐洲CEO峰會宣布新模型"能夠以遠超防御者能力的速度利用漏洞"的公司，用一份默認公開的CMS設置暴露了這則公告。

這層反諷已經被寫爛了，而且寫得不錯。Mandar Karhade關于"至高諷刺"的文章值得一讀。Futurism的調侃——"希望新模型沒負責Anthropic公司博客的安全"——精準命中。

但諷刺是消耗品。讀三遍就膩了。真正的問題是：為什么一家擁有頂級安全人才、充足資金、明確動機要保護聲譽的公司，會在基礎架構上連續翻車？

答案不在"他們不夠小心"這個層面。

架構問題：參數救不了的設計缺陷

泄露的模型內部代號Capybara，正式名Claude Mythos，定位在Opus之上的新層級。草稿聲稱其在編程、推理、網絡安全基準測試中"得分顯著更高"。最炸裂的斷言：該模型"目前在網絡能力上遠超任何其他AI模型"，"預示著即將出現一波能夠以遠超防御者速度利用漏洞的模型浪潮"。

注意這里的因果鏈條。Anthropic訓練了一個可能更擅長找漏洞的模型→需要向市場解釋這種能力的含義→在解釋過程中，因為CMS配置錯誤，把解釋本身泄露了。

這不是"我們被黑客攻擊了"的安全事件。這是"我們沒意識到公開和私有的開關在哪"的運營事故。前者是攻防對抗的失敗，后者是認知框架的失敗。

劍橋和LayerX的研究員發現的是一臺配置錯誤的MinIO實例——一個開源對象存儲系統。不是零日漏洞，不是高級持續性威脅，是一個權限設置。Anthropic的工程師把存儲桶設成了公共讀取，然后忘記了這件事。

五天后，Claude Code的源代碼通過npm泄露。同樣是配置問題，同樣是"人為失誤"。

兩次事故的共同點：都不是模型能力問題，都是人機界面問題。都是"這個開關應該撥到哪邊"的判斷失誤。都是擁有足夠技術資源的人，在足夠簡單的決策點上，做出了錯誤選擇。

安全行業的結構性盲區

網絡安全產業每年吸走數百億美元，構建的防御體系針對的是越來越復雜的攻擊面。但Anthropic的兩次泄露暴露了一個尷尬事實：最昂貴的防火墻、最先進的威脅檢測、最嚴格的訪問控制，都繞不過一個基礎問題——人類操作者是否理解他們正在配置的系統。

MinIO的權限模型并不復雜。npm的發布流程也不神秘。但當你把數千名工程師、數百個微服務、幾十個環境變量混在一起時，"簡單"就變成了"極易出錯"。

Claude Mythos被描述為能夠"以遠超防御者速度利用漏洞"。但Anthropic自己的事故說明，防御者的瓶頸從來不在"識別漏洞"這個環節。瓶頸在"確保數千個配置項中沒有一個被設錯"這個環節。在"確保有人記得檢查那個存儲桶權限"這個環節。在"確保發布流程不會把私有代碼推到公開倉庫"這個環節。

這些都是組織問題、流程問題、認知負荷問題。不是更多參數能解決的問題。

網絡安全股的暴跌，市場解讀為"AI將取代人類安全分析師"。但更準確的理解可能是：市場意識到，當前網絡安全架構的脆弱性，與攻擊者的能力關系不大，與防御者的協調能力關系很大。而AI——至少目前形態的AI——對后者幫助有限。

那個沒人問的后續問題

泄露的Claude Mythos草稿里有一句話值得細讀："presages an upcoming wave of models that can exploit vulnerabilities in ways that far outpace the efforts of defenders"（預示著即將出現一波能夠以遠超防御者速度利用漏洞的模型浪潮）。

Anthropic寫這句話時，想表達的是能力預警。但一周后，他們自己成了"防御者 efforts"跟不上節奏的鮮活案例。不是因為有更聰明的AI攻擊了他們，而是因為他們自己的配置失誤。

這里有個尷尬的鏡像：如果Claude Mythos真的如描述般強大，它能否幫Anthropic發現自己博客CMS的權限錯誤？能否在npm發布前攔截源代碼泄露？

理論上可以。靜態分析、配置審計、供應鏈檢查——這些都不是新問題。但實踐中，"能做"和"做了"之間隔著組織優先級、工程資源分配、安全文化與產品文化的博弈。

Anthropic的兩次泄露，恰恰發生在他們準備向世界宣告"我們的模型能更好地做安全"的前夜。這個 timing 比泄露內容本身更有信息量。

安全敘事的生產線

值得追問的是：為什么一家連續兩次配置失誤的公司，仍然能夠維持"安全優先"的公眾形象？

部分原因是敘事的生產線已經工業化。AI安全討論被框定在"對齊問題""涌現能力""生存性風險"等宏大議題中，基礎運營安全（OpSec）被視為不夠性感的底層工作。但當OpSec失敗時，宏大敘事就成了空中樓閣。

Anthropic的回應策略很標準：承認"人為錯誤"，強調"無惡意訪問證據"，承諾"加強流程"。這套話術在數據泄露事件中循環播放，聽眾已經免疫。真正的問題是：為什么"加強流程"的承諾在第一次泄露后五天內就被第二次泄露證偽？

答案可能是流程的復雜性本身。當安全措施增加到一定程度，它們不再是安全的助力，而成為新的故障點。工程師需要記住的開關太多，需要檢查的配置太分散，需要協調的團隊太龐大——錯誤從縫隙中滲出。

這不是為Anthropic開脫。這是指出一個被忽視的設計約束：安全系統的可理解性（comprehensibility）可能比其理論上的完備性更重要。一個簡單但能被正確執行的系統，優于復雜但常被誤用的系統。

Claude Mythos被宣傳為能夠處理更復雜的推理任務。但Anthropic的事故暗示，安全領域的核心問題可能不是"不夠復雜"，而是"過于復雜以至于人類操作者無法可靠地駕馭"。

如果更強大的AI模型被用來管理這種復雜性——自動化配置審計、實時監控權限變更、在發布前攔截敏感代碼——那么Anthropic的兩次泄露反而成了最及時的廣告：看，沒有這些工具，連我們都會犯錯。

但這種解讀有個漏洞：Anthropic顯然已經擁有開發和部署這類工具的技術能力。他們沒做，或者做了但沒生效。這說明障礙不在技術，而在組織——優先級、資源、文化、激勵結構。

而組織問題，是參數堆不上去的。

市場用股價投票，表達了對"AI將顛覆網絡安全"敘事的信任。但Anthropic的連續失誤，或許更應該被讀作一個警示：在組織層面的脆弱性被解決之前，更強大的模型能力可能只是把同樣的錯誤執行得更快、更徹底。

Claude Mythos的完整能力尚未公開。但已經足夠回答一個問題：當一家AI公司警告世界"前所未有的網絡安全風險"時，它是在描述外部威脅，還是在無意中預告自己的運營挑戰？