AI引爆「漏洞洪水」！99%来不及修，OpenAI高薪抢人

新智元报道

【新智元导读】科技行业还在收缩，网络安全岗位却抢不到人，连OpenAI也开出44.5万美元高薪招揽安全人才。征兆4月已现：Anthropic的Mythos一个月就挖出超1万个高危漏洞。漏洞发现正被AI加速，网络安全的真正瓶颈，已转向验证与修补。

过去差不多一年才接到一次的活。现在，每周都有。

Austin Cowan在猎头公司Heidrick & Struggles工作，专门帮《财富》100强企业物色网络安全高管。

他原以为自己2026年会清闲一些，毕竟整个科技行业都在收缩，结果并非如他所料。

最近几个月，他的桌上堆满了找安全高管的委托——那种既懂应对数据泄露、又能审代码的人。

「通常每年才会出现一次的职位，我们现在每周都能看到。」Cowan说。

另一家专做安全岗的猎头公司Hitch Partners，合伙人Michael Piacente称自去年秋天起，这类需求增长了五到七倍，公司因此推掉了相当多的委托。

《纽约时报》援引Glassdoor数据，2026年第一季度网络安全岗位同比增长11%。

另外一个信号来自OpenAI。它最近在Preparedness安全团队招聘「递归自我改进」方向的研究员，薪酬包29.5万到44.5万美元。

严格说，这并非传统网络安全岗位，而是更前沿的AI安全岗位。但它和这波招聘热指向同一件事：模型公司正在为更高等级的AI风险，提前储备安全能力。

网络安全为何成了眼下最贵的岗位之一？其实征兆今年4月已经出现。

一周内

两家实验室亮出攻击性网络安全模型

2026年4月7日，Anthropic推出了Project Glasswing。

https://www.anthropic.com/project/glasswing

按官方说法，这个项目要「为AI时代守住全世界最关键的软件」。它把还在预览阶段的Claude Mythos，提前交给一批合作伙伴做防御性安全工作。

真正让安全圈绷紧神经的，是Anthropic红队随后发布的评估。红队的判断是：Mythos Preview能在真实的开源代码库里，自己发现并利用零日漏洞（zero-day，指尚未被公开、也尚未被修复的漏洞）。

https://red.anthropic.com/2026/mythos-preview/

Anthropic还披露了一个数字：Mythos发现的漏洞里，超过99%尚未修复。

仅仅一周之后，4月14日，OpenAI推出了GPT-5.4-Cyber，一款主打「cyber-permissive」（对合法安全工作降低拒绝门槛）的GPT-5.4微调版本。

GPT-5.4-Cyber把重心放在通过Trusted Access for Cyber，向经过验证的防御者开放更高权限的能力。

短短一周之内，两家头部实验室相继把攻击性网络安全能力摆上了桌面。

在Anthropic对Mythos Preview的测试与受控部署中，AI已经被证明能发现并利用真实代码库里的零日漏洞。

AI攻防正逼近临界点，网络安全岗位的招聘热潮，根源也在这里。

攻防的胜负手

从「谁更强」变成「谁更快」

为什么说AI攻防正逼近临界点，最关键的一个转变，是攻防的逻辑变了。

过去的网络安全，面对的是人类黑客。攻方是人，防方也是人，双方拼的是技术、经验和耐心。

如今，AI既在加速写代码，也在加速挖漏洞。一种被业内称为「bug-pocalypse（漏洞洪水）」的新现象，正在席卷软件行业。

LinkedIn的首席信息安全官Lea Kissner直言，企业需要有人来收拾这场漏洞洪水，而且未来好几年，业界都摸不透怎样可持续地做AI安全。

5月22日，Anthropic公布了Project Glasswing上线一个月的成绩单，印证了「bug-pocalypse」绝不是玩笑。

https://www.anthropic.com/research/glasswing-initial-update

一个月里，Anthropic和约50家合作伙伴用Mythos Preview，在全球最关键的软件里找出了超过1万个高危或严重级别的漏洞。

仅开源这一块，Mythos就扫了1000多个开源项目，标记出6202个高危或严重漏洞候选；其中1752个经六家独立安全公司复核，真阳性率90.6%，1094个被确认为高危或严重级别。

Anthropic估算，按现有复核比例，光开源代码里就将浮现接近3900个高危或严重漏洞。

Anthropic在官方博客中表示：软件安全的进展，过去受限于发现新漏洞的速度有多快，现在受限于漏洞被验证、被披露、被修补的速度。

举几个具体案例：

Cloudflare在自己的关键路径系统里被挖出2000个漏洞，其中400个被定为高危或严重。

Mozilla用Mythos Preview扫Firefox，一个版本就修了271个漏洞，是此前用Claude Opus 4.6扫出来数量的十二倍以上。

Mozilla在博客《零日漏洞已被数清》中披露，Firefox 150修复了271个由Claude Mythos Preview识别的漏洞。https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/

在一家Glasswing合作银行，一笔150万美元的电汇正被诈骗团伙转走，Mythos Preview实时识别、当场拦下。

wolfSSL是一个被全球数十亿设备当作根加密库的开源项目。在它身上，Mythos Preview拼出了一条完整的攻击链：攻击者拿着伪造的证书，能做出一个和真的一模一样的银行或邮箱页面，浏览器认不出异常，用户也看不出破绽。漏洞编号CVE-2026-5194，CVSS评分9.1，目前已修复。

英国AI安全研究所（UK AISI）的评估给了一个外部参照：在最新一轮测试里，Mythos Preview成为第一个端到端跑通它两个网络靶场的模型，包括此前从未被任何模型攻克的工控靶场。

过去十几年，安全行业一直在算同一道题，发现新漏洞够不够快，Mythos Preview直接把它换成了另一道题：补漏洞够不够快。

而能补漏洞的是人，这场网络安全攻防的胜负手，已经从「谁的技术更强」，变成了「谁的响应更快」。

最能体现这一点的，是模型公司自己的动作。Anthropic的Mythos，OpenAI的GPT-5.4-Cyber，没有一个面向公众放开。

在安全策略上，Anthropic走的是「窄门」。在Project Glasswing计划里，它把Mythos只交给一批横跨云服务、芯片、金融、网络安全领域的头部企业，先做防御性安全工作。

OpenAI采用的是分层。GPT-5.4-Cyber通过Trusted Access for Cyber，向数千名经过验证的个人防御者和数百个团队开放，覆盖二进制逆向工程等场景；但权限最高的版本，依然是有限的、迭代式的发放。

分层也好，验证也好，指向的是同一件事：两家都没有把模型无差别地交给公众。

这说明，模型公司已经认定，高级AI网络安全能力进入了需要受控开放、需要协同防御的阶段。受限部署并非保守，而是承认临界点确实到了。

企业「防御扩军」

检测工程师岗位领涨

网络安全「攻防大战」，引爆了网络安全有关职位的招聘热潮。

当然，也不是所有的网络安全岗位都整体翻倍。

CyberSeek 2026年第一季度数据。https://decipheru.com/intelligence/quarterly/q1-2026

CyberSeek与Decipher的2026年第一季度数据显示：美国网络安全岗位从46.1万个增至46.9万个，环比增长2%。

总盘子只涨了一点点，但真正的变化是结构性的，同一份数据显示：

高级与Staff级岗位环比增长6%，入门与早期岗位却下降了4%。其中Detection Engineer（检测工程师）岗位，环比增长达到11%。

入门岗在降，高级岗在涨。这说明这场网络安全「攻防大战」所带来的是一场结构性筛选：企业要的不是更多安全岗，是能跟上AI攻防速度的安全岗，比如检测工程师（Detection Engineer）、威胁猎人（Threat Hunter）、应用安全（AppSec）、AI安全等。

安全工程师Brian Gaudenti的经历，就是一个很好的例子。

他在一家大型科技公司做了十多年威胁检测与调查。他去年离职后，起初竟然找不到新工作。后来他在作品集里加进了一批AI项目，很快就入职一家AI创业公司，负责组建安全团队。

最贵的守门人

这场围绕网络安全「攻防大战」的人才争夺，价码已经摆出来了。

《纽约时报》援引Cowan的说法称，700万到800万美元的安全高管薪酬包正变得更常见。

IANS与Artico Search的报告也显示，2025年CISO总薪酬平均上涨6.7%，排名前1%的CISO总薪酬超过320万美元。

头部安全高管的溢价，正在肉眼可见地增长。为顶尖安全人才付溢价，正在从个例变成共识。

回到开头那个例子：OpenAI为一名「递归自我改进」方向的安全研究员，开出了最高44.5万美元。

无论是模型公司，还是企业，都在为「跑得更快」付溢价。

当AI已经能自己挖漏洞，甚至开始有能力改进自己，「能守住攻防速度的人」就成了最稀缺的资产。

能挖漏洞的AI会越来越多，能在窗口期内补上漏洞的人，只会越来越贵。

参考资料：

https://www.nytimes.com/2026/05/24/technology/one-job-that-is-growing-in-the-ai-era-cybersecurity-experts.html%20

https://www.businessinsider.com/openai-safety-team-ai-self-improvement-challenge-job-2026-5%20

https://openai.com/careers/researcher-recursive-self-improvement-preparedness-san-francisco/

编辑：元宇 Moses