Anthropic发布Project Glasswing首份进展：Claude Mythos发现万余个高危漏洞

核心要点

• 规模化发现：Project Glasswing启动仅一个月，已利用Claude Mythos Preview发现超过10,000个高危或严重级别的安全漏洞。
• 行业协作：目前已有约50家合作伙伴参与该项目，共同扫描全球最关键的系统软件和开源项目。
• 瓶颈转移：软件安全的主要限制因素已从“如何发现漏洞”转变为“如何快速验证、披露并修复AI发现的海量漏洞”。
• 负责任披露：坚持90天协同漏洞披露（CVD）政策，确保在细节公开前用户有足够时间进行补丁更新。

详细分析

AI驱动的漏洞挖掘效率革命

Anthropic在报告中强调，Claude Mythos Preview的表现标志着网络安全防御能力的飞跃。通过对数千个开源项目和系统性重要软件的扫描，AI展现了远超传统人工审计的效率。这种能力的提升意味着在恶意行为者利用AI攻击软件之前，防御者可以先发制人地识别弱点。然而，这种“发现速度”的激增也对现有的安全响应流程提出了挑战，即如何处理和消化如此大规模的漏洞报告。

协同披露与安全防御的平衡

尽管发现了大量漏洞，但Project Glasswing并未立即公开具体细节。Anthropic重申了其协同漏洞披露政策：通常在发现后90天，或补丁发布45天后才公开信息。这种做法是为了防止漏洞在得到妥善修复前被攻击者利用。目前的公开信息主要集中在模型性能的说明性示例和汇总统计上，这反映了在提升透明度与保障终端用户安全之间的一种谨慎平衡。

行业影响

Project Glasswing的初步成果预示着网络安全行业将进入“AI对攻”的新阶段。随着AI发现漏洞的能力呈指数级增长，传统的补丁管理和验证机制将面临巨大压力。行业急需开发自动化的修复和验证工具，以匹配AI的发现速度。此外，Anthropic关于Mythos级别模型未来发布方式的思考，也将引导行业重新评估高性能AI模型在网络安全双刃剑效应下的分发策略。

常见问题

问题：什么是Project Glasswing？

答：这是由Anthropic发起的一项协作计划，旨在利用先进的AI模型（如Claude Mythos）在关键软件被恶意利用之前，识别并修复其中的安全漏洞，从而保护全球数字基础设施。

问题：为什么目前不公开具体的漏洞列表？

答：为了遵循负责任的披露原则。如果立即公开，攻击者可能会利用这些尚未修复的漏洞发起攻击。90天的窗口期为开发者提供了修复漏洞、为用户提供了更新系统的时间。

问题：Claude Mythos模型在其中的角色是什么？

答：Claude Mythos Preview是该项目使用的核心AI模型，它负责扫描代码并识别潜在的高危安全缺陷。目前它已展现出极高的效率，发现了超过一万个关键漏洞。