Glasswing 项目：初步更新

Glasswing 项目：初步更新

一句话看懂：Anthropic 在 2026 年 5 月启动的 Glasswing 项目，借助 Claude Mythos Preview 模型，在一个月内与约 50 家合作伙伴共同发现了超过一万个高危或严重漏洞。这标志着 AI 辅助漏洞挖掘的速度已超过人类安全团队的验证与修复能力，软件安全的核心瓶颈从“发现漏洞”转向“修复漏洞”。

事件核心：发生了什么

2026 年 5 月 22 日，Anthropic 发布 Glasswing 项目初步更新。项目自 4 月启动以来，使用 Claude Mythos Preview 模型扫描了超过 1000 个开源软件项目，并协同 Cloudflare、Mozilla、Palo Alto Networks、微软、Oracle 等合作伙伴进行系统性安全审计。截至目前，多数合作伙伴已在各自关键软件中发现数百个高危或严重漏洞，总计数超过一万个。具体案例包括：Cloudflare 修复了 2000 个 bug（其中 400 个为高严重性或严重性），Mozilla 在 Firefox 150 中发现并修复了 271 个漏洞（较此前版本使用 Claude Opus 4.6 时的发现量提升超过十倍）。Palo Alto Networks 一次发布的补丁数量是惯例的五倍以上，微软表示补丁数量将持续增加，Oracle 的漏洞发现与修复速度也提升多倍。此外，Mythos Preview 已在英国 AI 安全研究院的两个网络攻击模拟中实现端到端解决，并在 XBOW、ExploitBench 和 ExploitGym 等基准测试中表现最强。

为什么重要

Glasswing 项目对 AI 在网络安全领域的应用价值进行了首次大规模实证。此前业界广泛担忧 AI 将被攻击者利用，但 Anthropic 的初步数据表明，防守方同样可以借助前沿模型大幅加速漏洞发现，甚至在某些场景下实现“先发现、先修复”的优势。考核指标从“AI 能否找到漏洞”转变为“能否在攻击者利用之前完成验证、披露和打补丁”这一全链路效率。该项目的模式——联合关键基础设施软件维护者进行协同扫描——可能成为未来网络安全行业的标准工作流。同时，Anthropic 采用的 90 天协调披露政策（或补丁发布后约 45 天披露）也意味着目前公布的统计数据属于滞后指标，实际漏洞数量可能更高。这一进展可能推动安全行业重新评估 AI 模型在攻防平衡中的角色，也促使更多云厂商、开源基金会和安全团队考虑将 AI 扫描纳入日常流程。

对用户/开发者/创作者的影响

对开发者与开源维护者： 如果你是开源项目的核心贡献者，需要准备面对 AI 扫描带来的“补丁洪峰”——Patch 数量可能比以往多出数倍，必须建立更高效的漏洞分类、验证与发布流程。对于使用关键开源组件的企业开发者，应关注依赖库的补丁节奏并尽快集成最新版本。

AI 工具推荐

想把多个 AI 模型放在一个入口？

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型，适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接：通过此链接购买，我可能获得佣金，不影响你的价格。

对企业安全团队： 当前已有多家大型厂商（如 Palo Alto Networks、微软、Oracle）开始采用类似方案，企业安全负责人可能需要重新评估人工审计与 AI 工具的成本效率对比。建议尽早与相关云服务商确认是否已采用 AI 安全扫描，并规划内部漏洞管理流程的升级。

对普通用户： 短期内普通用户不会直接接触到该模型，但背后依赖的浏览器（Firefox）、云服务（Cloudflare）、操作系统补丁（微软、Oracle）等基础设施安全性可能显著提升。建议保持系统和常用软件自动更新开启，以尽快获得修复。

对安全研究者与红队： Mythos Preview 在开发漏洞利用（Exploit）方面的强大表现意味着攻防两端都需适应新能力。安防认证与培训体系可能需调整，以培养与 AI 协同工作的专家。

值得关注的后续

1. 补丁披露窗口与透明度： 目前 Anthropic 仅公布了聚合统计数据，具体漏洞细节将在 90 天协调披露周期完成后逐步公开。关注首批披露时间点（预计 2026 年 8-9 月），届时可以看到更详细的漏洞类型分布和影响评估。

2. 竞品跟进与模型发布节奏： OpenAI 的 GPT-5 系列是否会在安全扫描领域作出类似能力展示？Mythos Preview 是 Claude 系列的特殊预览版本，其安全能力是否会作为正式版模型的出厂特性推出，将是行业早期指标。

3. 监管与合规风险： 随着 AI 发现漏洞的能力显著增强，要求强制披露漏洞的法律与行业标准可能加速出台。关注美国 CISA、英国 AI 安全研究院以及欧盟《AI 法案》后续是否会对这类“AI 安全扫描能力”提出新的报告义务。

来源：Hacker News (黑客新闻)