Anthropic：Project Glasswing首月发现超过10,000个高风险漏洞

Anthropic于2026年5月22日发布了Project Glasswing的首份月度报告。该项目使用Claude Mythos Preview模型扫描关键软件，在攻击者利用漏洞之前发现它们。Project Glasswing汇集了约50个外部合作伙伴，包括Mozilla、英国AI安全研究所和XBOW的安全团队，他们通过结构化的研究预览计划使用Mythos模型。首月，合作伙伴通过其自身生产代码库报告了超过10,000个高风险和严重漏洞。

Anthropic同时推出了开放的开源计划，通过Glasswing自动扫描GitHub及其他平台上的1,000多个JavaScript、Python和Rust项目。在该部分计划中，Mythos发现了6,202个高风险和严重漏洞，真阳性率达90.6%，这一数字通过与项目维护者的协调分类流程测量得出。

Project Glasswing的技术工作原理

Project Glasswing将Claude Mythos Preview模型与一个管道结合，该管道接收源代码，构建函数和元数据的语义模型，然后指示模型查找特定类别的漏洞——内存安全问题、反序列化工具链、竞争条件、硬编码凭证以及授权控制中的逻辑错误。Mythos生成假设，在沙箱环境中尝试复现，只有经过验证的发现才会转发给人工审查团队。

Anthropic声称Mythos能发现传统静态分析器和模糊测试工具遗漏的漏洞，因为它将语义理解与有针对性的实验相结合。Mozilla在协调发布声明中表示，Mythos通过Glasswing计划在Firefox代码库中发现的已确认漏洞比之前的内部和外部渗透测试轮次多10倍。

合作伙伴使用情况及结果

在已披露的数字中，Anthropic强调了几个具体合作伙伴。Mozilla表示，Mythos在Firefox代码库中发现安全漏洞的速度是现有审计团队的10倍。英国AI安全研究所使用Glasswing进行独立发现验证和模型攻击能力评估。专注于自主渗透测试工具的XBOW公司将Mythos集成到其自主渗透测试代理中。

这对网络安全意味着什么

Anthropic明确表示，主要瓶颈现在已从发现漏洞转移到验证和修补。数千个已确认的严重漏洞等待协调披露和修复，给开源项目维护者和产品安全团队带来压力。这是网络安全领域的结构性变化——数十年来，「无法跟上报告漏洞数量」的说法是忽视补丁的借口；现在它成为组织不力的托词。

为什么Mythos模型保持封闭？

Anthropic在同一文件中解释说，Mythos模型目前仍处于Preview访问状态，不对公众广泛提供。原因是双重用途风险：帮助合作伙伴发现和关闭漏洞的相同能力也会使攻击者能够自动化扫描生产系统中的漏洞。Anthropic评估当前的防护措施——包括速率限制、通过合作伙伴计划控制访问以及查询监控——不足以进行无限制的公众分发。

英国AI安全研究所通过其对Mythos模型攻击能力的独立评估确认了这一评估。Anthropic宣布将在接下来几个月内扩大合作伙伴计划，并开发更强大的防护措施，有望在2027年实现更广泛的访问。