AI安全竞赛——中国与美国在漏洞发现领域的路线分野

AI安全正在从概念探索走向能力竞争。5月27日，观察者网发布深度报道，将Anthropic的Claude Mythos与360的漏洞挖掘智能体进行了横向比较，揭示了两条截然不同的发展路径以及背后更宏观的中美AI竞赛叙事。

一、两条路线

Anthropic近期公布了Claude Mythos在"玻璃翼计划"首月的数据：超过1万个高危和严重级漏洞。这一数字的公布在全球安全界引发震动——AI驱动漏洞发现已经不再是概念验证，而是正在成为下一代网络安全核心能力。

与此同时，中国企业360也在这一方向上取得了实质进展。其自研漏洞挖掘智能体已累计挖出千余个漏洞，覆盖Windows、Office、OpenClaw、AI编程工具、国产操作系统、安卓、邮件服务器、物联网设备、OA系统等核心领域。仅在OpenClaw生态的一次安全审计中就发现23个漏洞，其中2个为严重级别，目前相关漏洞已全部提交国家漏洞库。

海外媒体——彭博社、华尔街内参、美国电讯、联合早报等——对这些进展进行了报道。海外研究者认为，360已经把过去依赖顶级安全专家手工完成的漏洞研究工作交给了智能体自动完成，其漏洞发现规模接近Anthropic披露的Mythos能力。

二、路径差异的深层逻辑

两条路线背后的理念差异，比数据更加重要。

Mythos更像通用大模型向安全领域的自然延伸——Anthropic基于Claude模型训练出一个安全专项能力。而360的路径则是把二十余年漏洞研究和攻防经验"蒸馏"进安全智能体。这两种模式谁更有效，本质上取决于一个更前置的问题：谁的训练数据更好。

这一判断揭示了一个被忽略的结构性优势。中国漏洞提报制度（CNNVD/CNVD）为高价值漏洞资源的持续沉淀提供了制度性保障——每一次由安全团队发现并提交的漏洞，都会进入国家漏洞库，成为攻防经验的积累池。这种制度安排使得攻防经验能够稳定地转化为可训练的安全能力，而不依赖于个别安全专家的个人经验传承。

三、制度层面的镜像

将这一话题放置在更大的框架下审视，可以看到中美两国在AI安全竞争中的制度性差异。

美国方面，Anthropic的Mythos受益于硅谷的资本密集型和人才密集型研发模式。OpenAI、Google DeepMind、Meta等巨头在基础模型上的投入，为Mythos这样的垂直应用提供了底层支撑。

中国方面，360的路径代表了一种以实战经验为导向的"后发追赶"模式。CNNVD/CNVD的集中式漏洞库体系，使得中国在"积累攻击数据"这一维度上拥有制度性优势——不是技术更领先，而是数据沉淀路径更畅通。

这与「AI竞争的本质分野——新质生产力vs新质金融」中描述的格局形成映照：美国AI竞赛的核心优势在基础研究和资本配置，中国AI竞赛的比较优势在场景落地和数据积累。

四、这场讨论的真正含义

"AI安全竞赛"这件事本身值得讨论的原因，不在于谁输谁赢。而在于，当AI驱动的自动化漏洞发现从概念走向能力竞争时，以下三个前提条件将决定竞争的走向：

1. 数据规模：谁拥有更大规模、更高质量的攻击数据来训练安全AI
2. 制度路径：数据能否有效地从发现者流向模型训练者
3. 组织效率：安全能力能否从个体专家迁移到自动化系统

在这三个维度上，中美各有长短。中国在制度路径（漏洞库体系）上具有集中优势，美国在基础研究深度上仍占领先。这场竞赛的输赢，或许要看谁先在自己的制度框架内建立起正向强化的飞轮。