2014 年 4 月，Heartbleed 漏洞（CVE-2014-0160）爆发，影响了无数的系统，包括服务器和客户端。然而，受影响的服务器很容易通过网络扫描来发现，但到底哪些客户端软件受影响？没有人知道。全世界没有任何一个网络安全组织能给出答案。于是我诞生了一个想法：是否可以建立起一套系统，对全世界的软件进行自动检测，找出受影响的软件？

2014 年 6 月，我加入腾讯，创建了玄武实验室。2015 年，我带领刚加入实验室的几个同学开启了“阿图因”项目。最开始的目标是建立一套全自动已知漏洞扫描系统，每当类似 Heartbleed 这样的严重漏洞出现，我们能快速在全世界软件中找到受影响的对象，获得软件安全领域的上帝视角。

在这个目标初步实现后，我又给团队提出了一个新目标：除了扫描已知安全漏洞，能否自动或半自动地发现新的安全漏洞？在当时的技术背景下，很难做到泛化的自动化漏洞发现，于是我设定了一个具体范式：寻找终端安全软件导致的沙箱逃逸漏洞。事实证明这个思路是可行的。2016 年，我们在温哥华的 CanSecWest 会议上发表了演讲《Sandbox Escape with Generous Help from Security Software》，揭示了全世界超过 55% 安全软件都存在会破坏系统沙箱机制的漏洞。

之后我们一直在迭代阿图因系统，给它增加各种能力，并尝试用于各种不同的领域。

2023 年，在 ChatGPT 引领的新一轮 AI 浪潮中，我们很快意识到 LLM 在安全研究上的巨大潜力，于是开始探索使用 AI 进行漏洞挖掘等工作。最终，我们研发了阿图因系统的新一代版本：阿图因 AI。

------

2026 年 4 月 7 日，Anthropic 正式公布了 Claude Mythos Preview。由于该模型被认为在安全漏洞发现等能力上强大到有些危险，所以只有少数机构获得了访问授权。首批获得 Mythos 访问权的机构中就有 Linux 基金会。2026 年 5 月 6 日，Linux 基金会的安全专家用 Mythos 对 curl 源码进行了检测， 然后向 curl 核心安全团队提交了一份安全审计报告。这份报告声称发现了 5 个漏洞。

2026 年 5 月 11 日，curl 的创始人 Daniel Stenberg 写了一篇关于这件事的文章，他指出：Mythos 发现的这 5 个漏洞中有 3 个是误报，1 个是不会引起安全问题的普通 bug，只有 1 个是低危漏洞。

从 Daniel Stenberg 写文章的语气看，他对 Mythos 的这份夸大的审计报告似乎有些生气。但考虑到 curl 影响巨大，至少有 200 亿台设备运行着 curl 代码，所以 curl 一直被全世界的安全专家密切关注，而且在此前 curl 研发团队自己也用了 OpenAI 的 Codex Security 等工具进行过检测，所以 curl 代码的安全性远超一般开源项目，Mythos 在 curl 中没有发现太多漏洞也是可以理解的。

在看到 Daniel Stenberg 那篇关于 Mythos 的文章之后，我们用阿图因 AI 对 curl 项目进行分析，发现了一个新漏洞（CVE-2026-9079）。这个漏洞被 curl 官方定级为中危。2026 年 6 月 24 日，curl 在 8.21.0 版本中修复了我们发现的这个漏洞。

也就是说，我们的阿图因 AI 发现了一个 Mythos 没有发现的漏洞。