當漏洞正被AI重新定價 360想打造中國版Mythos

**當漏洞正被AI重新定價：360推出「圖龍鋒」智能體，挑戰中國版Mythos**

隨著生成式AI與深度學習技術快速滲透資安領域，漏洞的發現、評估與定價方式正經歷一場前所未有的變革。過去依賴人力挖掘與經驗判斷的流程，如今開始被自動化智能體改寫。在這樣的背景下，中國網路安全大廠360近日宣布推出代號「圖龍鋒」的自動化漏洞挖掘智能體，目標是打造一套類似國外知名漏洞生態平台Mythos的中國版本，企圖以AI重新定義漏洞價值。

**Mythos是什麼？為何360想複製其模式？**

Mythos在國外資安圈以「漏洞自動化發掘與動態定價」聞名，它結合AI技術與社群協作，讓白帽駭客與企業能在平台上更有效率地進行漏洞交換與獎勵。360的「圖龍鋒」並非單純複製一個平台，而是希望透過自家累積多年的安全大數據與AI能力，建立一套能自動發現漏洞、評估風險，並進一步提供修補建議的完整系統。這種「智能體」的概念，意味著漏洞挖掘不再完全仰賴人工掃描，而是讓AI主動學習攻擊手法，形成自主更新的防禦網路。

**「圖龍鋒」如何運作？關鍵在於自動化與學習**

根據360的說明，「圖龍鋒」是一款基於大型語言模型與強化學習架構設計的智能體。它能模擬駭客思維，對軟體或系統進行多維度目標攻擊測試，並在過程中動態調整策略。不同於傳統漏洞掃描工具只能比對已知特徵，「圖龍鋒」具備生成式能力，可以嘗試推測潛在的新型漏洞，並自動標記其危險等級。更重要的是，它會將每次挖掘到的漏洞情報回饋至訓練模型，形成「越挖越聰明」的迭代循環。

**漏洞定價的AI革命：從人工競標到即時估價**

傳統漏洞定價往往取決於白帽駭客的聲譽、漏洞的嚴重程度以及買家需求，交易過程充滿資訊不對稱。360提出「AI重新定價」的概念，正是希望透過圖龍鋒的數據分析能力，建立一套客觀、即時的漏洞估值模型。例如，系統會根據漏洞觸發的難度、影響的資產規模、是否可連鎖攻擊等參數，自動產生建議獎勵金額。這不僅能降低白帽駭客的談判成本，也能讓企業更快決策是否修補或購買漏洞資料。

**背景脈絡：全球資安戰場已全面AI化**

近兩年，國際上包括Google的Project Zero、微軟的零日漏洞計畫，都已逐步引入AI輔助分析。而360此次的布局，更凸顯中國資安廠商意圖在「AI+漏洞」領域建立主導地位。另一方面，隨著物聯網、車聯網與邊緣運算裝置爆炸成長，傳統人工挖掘已無法覆蓋所有攻擊面，自動化智能體成為唯一解方。可以說，圖龍鋒的推出正是呼應了這股全球趨勢。

**可能影響：改變漏洞生態鏈、加速零日漏洞公開**

若圖龍鋒成功落地，首先受衝擊的將是中小型漏洞仲介平台。它們缺乏AI算力與資料庫，可能難以與360的規模競爭。其次是企業安全團隊，未來可能不再需要養大量手動滲透測試人員，轉而依賴智能體的報告進行快速修復。然而，自動化挖掘也可能導致「漏洞通貨膨脹」——當大量低風險漏洞被AI撈出，定價系統若未設計完善，可能反而讓真正的高危險漏洞被淹沒。此外，平台如何保證漏洞資料不外洩給惡意攻擊者，也將是一大考驗。

**讀者可關注的後續發展**

目前「圖龍鋒」仍處於內部測試階段，360尚未公布正式上線時間與商業模式。讀者可以留意以下幾點：第一，它是否開放給第三方白帽駭客使用，還是僅限360自家團隊？第二，漏洞定價機制是否透明，且能否獲得社群信任？第三，與國際平台上（如HackerOne、Bugcrowd）的AI競品相比，圖龍鋒的實測漏洞捕獲率與準確度如何？最後，台灣資安從業者或許也能觀察，未來是否有可能引進類似技術，或與360進行跨境漏洞交換合作。

總結來說，360的「圖龍鋒」不僅是一項產品，更代表資