AI Catch Logo
新闻技术突破

Anthropic发布Glasswing首份进展:Claude Mythos在全球关键软件中发现万余高危漏洞

📅 2026-05-23📰 Anthropic 官方 / TechCrunch⏱️ 阅读时间 8 分钟

🔐 AI安全赛道迎来里程碑。Anthropic发布了Project Glasswing的首份进展报告——Claude Mythos Preview模型联合约50家合作伙伴,在全球系统性重要软件中发现了超过10000个高危或严重漏洞。这不是一个数字游戏,而是一次对全球软件基础设施安全底线的深度体检。更值得关注的是:发现漏洞已经不再是瓶颈,验证和修复的速度才是。

Glasswing首份进展核心数据

  • 🤖 使用模型:Claude Mythos Preview
  • 🤝 合作伙伴:约50家
  • 🐛 高危/严重漏洞:超过 10,000
  • ☁️ Cloudflare 发现漏洞:2,000个(400个高危/严重)
  • 🦊 Mozilla Firefox 150漏洞:271个(前版本10倍以上)
  • 🔓 开源项目扫描:1,000+ 个
  • ✅ 独立验证真实性:90.6% 为真实漏洞
  • ⚠️ 高危/严重级别确认:62.4%
从「发现」到「修复」:安全瓶颈的转移

Project Glasswing的核心思路很清晰:在更强大的AI被恶意利用之前,主动扫描并修复全球最关键软件中的安全漏洞。一个月的运行结果显示,AI发现漏洞的效率已经远超人类安全团队——但这也带来了新的问题。

安全瓶颈转移示意图
⏪ 过去的瓶颈🔍 发现漏洞缓慢、人力密集✅ 验证+修复相对可控🚧 瓶颈:发现⏩ 现在的瓶颈🔍 发现漏洞AI极速、超大规模⚠️ 验证+修复严重滞后!🚨 瓶颈:修复

Anthropic在报告中明确指出:发现漏洞已经变得极为高效,但验证、披露和修补的速度远跟不上发现速度,形成了新的安全瓶颈。这是一个耐人寻味的悖论——AI让安全问题暴露得更快,但修复能力的提升却没有跟上发现的步伐。

典型案例:wolfSSL加密库的致命漏洞

🐛 CVE-2026-5194:wolfSSL证书伪造漏洞

🔹 影响范围:wolfSSL是嵌入式系统最广泛使用的加密库之一,被数十亿设备依赖

🔹 漏洞类型:攻击者可以伪造数字证书,绕过TLS/SSL加密验证

🔹 严重程度:Critical级——意味着远程攻击者可以中间人攻击

🔹 发现方式:Claude Mythos自主发现,无需人类提示

🔹 深层意义:这类漏洞传统安全审计极难发现,AI模型展现了超越人类审计员的深度代码理解能力

wolfSSL案例尤其值得深思。这个加密库被全球数十亿物联网设备、汽车系统和工业控制器使用——一个证书伪造漏洞意味着攻击者可以在这些设备之间冒充合法服务器。这类深层逻辑漏洞不是靠模糊测试(fuzzing)能发现的,它需要真正理解加密协议的语义——而Claude Mythos做到了。

外部评测:Mythos的表现到底多强?

🏆 第三方评估结果

🇬🇧 英国AI安全研究所(AISI)

Mythos Preview是首个端到端解决其两个网络靶场的模型。这意味着它能自主完成从发现漏洞到编写利用代码的全流程。

🎯 XBOW平台

评价Mythos Preview为「现有所有模型的重大飞跃」。在自动化漏洞发现基准测试中表现最佳。

📊 ExploitBench / ExploitGym

学术基准测试中,Mythos Preview在所有参赛模型中表现最强,特别是在自主漏洞利用和代码审计维度。

Anthropic的应对:Claude Security与网络验证计划

发现了一堆漏洞,然后呢?Anthropic显然也意识到了「发现≠解决」的困境,因此同步推出了两个关键工具:

🛡️ Anthropic的两项应对措施

1️⃣ Claude Security(公测版)

面向企业客户的安全工具,已帮助修补2,100+漏洞。它不只是发现漏洞,还能生成修复补丁、验证补丁有效性,加速从发现到修复的闭环。

2️⃣ 网络验证计划(Cyber Verification Program)

向合作伙伴开放扫描工具、代码分析框架和威胁模型构建器。与Open Source Security Foundation建立合作,推动开源软件安全基础设施建设。

更大的问题:AI安全的双刃剑

Project Glasswing的进展让人既振奋又忧虑。振奋的是,AI确实可以在网络安全领域发挥巨大正向作用——发现人类审计员永远找不到的深层漏洞。忧虑的是,同样的能力如果被恶意使用,后果不堪设想

Anthropic在报告中提到了这个矛盾:他们计划在开发出更强的安全防护措施后,再公开发布Mythos级别的模型。这意味着Anthropic认为当前的安全保障还不够强,不足以让这种级别的网络安全AI完全开放。

⚖️ AI安全的根本悖论

🔓 开放 → 更多安全研究者可以使用 → 全球软件更安全 → 但也可能被恶意利用

🔒 封闭 → 减少滥用风险 → 但安全防护覆盖面受限 → 漏洞修复速度慢于发现速度

🎯 Anthropic的折中 → 先通过Claude Security服务企业客户 → 开放工具给合作伙伴 → 待安全措施成熟后再考虑公开发布

Project Glasswing用一个月的时间证明了一件事:AI在网络安全领域的潜力已经从理论变为现实。一万多个高危漏洞不是数字,而是全球软件基础设施中真实存在的风险——现在,至少有一部分已经被看见了。而看见问题,是解决问题的第一步。只是这一步迈出之后,下一步该多快走、往哪走,可能是2026年AI安全领域最重要的问题。

原文来源: Anthropic 官方

← 返回新闻列表