Anthropic玻璃翼计划：发现万处高严重性或关键性漏洞_科技资讯

创始人

2026-05-24 03:44:08

上月，Anthropic正式启动“玻璃翼计划”（Project Glasswing）。这项协作旨在利用日益强大的AI模型，在攻击者利用之前保护全球关键软件的安全。

短短一个月内，Anthropic联合约50家合作伙伴，利用Claude Mythos Preview模型在全球最具系统重要性的软件中发现了超过1万处高严重性或关键性漏洞。这一进展揭示了一个新的行业现实：软件安全的瓶颈已从“发现漏洞的速度”转移至“验证、披露和修补海量AI发现漏洞的速度”。

早期成果：漏洞发现率提升十倍

“玻璃翼计划”的初始合作伙伴多为构建互联网及关键基础设施核心软件的巨头。修复其代码缺陷直接降低了数十亿终端用户的风险。

数据显示，大多数合作伙伴在其软件中各自发现了数百处关键或高严重性漏洞。部分合作伙伴表示，其漏洞发现率提高了十倍以上。以Cloudflare为例，其在关键路径系统中发现了2000个错误，其中400个为高或关键严重性，且误报率优于人类测试人员。

外部测试数据同样佐证了Mythos Preview的性能：

在实际防御场景中，该模型也展现了价值。在某银行合作伙伴处，Mythos Preview帮助检测并阻止了一笔价值150万美元的欺诈电汇，当时威胁行为者已入侵客户邮箱并进行伪造电话呼叫。

开源软件扫描：真阳性率超90%

过去几个月，Anthropic使用Mythos Preview扫描了1000多个支撑互联网基础设施的开源项目。截至目前，共发现23,019处漏洞，其中估计有6,202处为高或关键严重性。

在对1,752处高或关键严重性漏洞进行独立评估后，90.6%（1,587个）被证实为有效的真阳性，62.4%（1,094个）确认为高或关键严重性。这意味着，即使不再发现新漏洞，按当前去重后的真阳性率计算，该模型有望在开源代码中识别出近3,900处高危漏洞。

一个典型案例出现在广泛使用的开源加密库wolfSSL中。Mythos Preview构建了一个漏洞利用程序，允许攻击者伪造证书以托管假冒网站。该漏洞（CVE-2026-5194）目前已修补，完整技术分析将在未来几周发布。

然而，修复速度成为最大制约因素。平均而言，修补一个由Mythos Preview发现的高危漏洞需要两周时间。由于维护者面临大量低质量AI生成报告的冲击，处理能力严重受限，部分维护者甚至要求减缓披露速度。

截至目前，Anthropic已向维护者披露了530个高或关键严重性错误，其中75个已修补，65个发布了公开建议。补丁数量较少的原因包括处于90天披露窗口期早期、部分无公开建议的私下修补，以及安全生态系统整体超负荷运转。

适应网络安全新阶段

随着具备类似Mythos Preview能力的模型即将更广泛可用，软件行业需应对漏洞发现量激增带来的挑战。从发现到广泛部署补丁之间的滞后，给攻击者留下了巨大的利用窗口。

对此，Anthropic提出以下建议：

赋能生态：工具与资源开放

为帮助行业应对这一转变，Anthropic推出了一系列支持措施：

Claude Security公测版：面向Enterprise客户，帮助团队扫描代码库漏洞并生成修复建议。发布三周内，Claude Opus 4.7已协助修补超过2,100个漏洞。
网络验证计划：允许安全专业人员出于合法目的（如渗透测试）使用模型时，免除部分防滥用限制。
工具包开放：向符合条件的客户提供与合作伙伴相同的工具，包括自定义指令技能、辅助框架及威胁模型构建器。
生态合作：与OpenSSF Alpha-Omega项目合作，支持维护者处理漏洞报告；支持开发ExploitBench等新基准；承诺扫描其采用的任何开源包。

未来展望

Anthropic强调，目前尚无公司开发出足以防止此类强大模型被滥用的保障措施，因此暂未公开发布Mythos级模型。“玻璃翼计划”旨在让关键防御者获得不对称优势，以应对未来可能出现的无保障模型扩散风险。

下一步，Anthropic将与美国政府及盟国合作，扩展合作伙伴范围。待开发出更强的保障措施后，计划通过一般发布使Mythos级模型可用，最终构建一个代码更坚固、黑客行为更少见的网络世界。

【来源：星途科讯】