Anthropic称Project Glasswing首月发现逾万个严重软件漏洞

本周，Anthropic发布了Project Glasswing的首份进展报告。报告显示，其受限版Claude Mythos Preview模型在约一个月的运行时间内扫描了逾1,000个开源项目，共发现超过10,000个高危或严重级别的安全漏洞。此次进展标志着这家AI实验室雄心勃勃——却也饱受争议——的计划得到了初步验证：在攻击者掌握同等能力的工具之前，率先利用前沿AI筑牢全球软件基础设施的安全防线。

数据概览

根据更新，Mythos Preview 在开源代码库的 23,019 个总发现中，检测出约 6,202 个高危或严重漏洞。在经六家独立安全研究机构之一评估的 1,752 个高危或严重发现中，90.6%（即 1,587 个）被证实为有效的真阳性结果。在已确认的发现中，62.4% 被验证为真正的高危或严重漏洞。

其中一项值得关注的发现涉及 wolfSSL——一个被全球数十亿嵌入式设备广泛使用的开源加密库。Mythos Preview 构建了一个漏洞利用程序，允许攻击者伪造证书，例如搭建以假乱真的钓鱼银行网站。该漏洞现已被分配编号 CVE-2026-5194。

在商业合作伙伴中，结果不尽相同。Cloudflare 报告发现了 2,000 个漏洞，其中 400 个为高危或严重级别。Mozilla 则借助 Mythos Preview 在 Firefox 150 中发现并修复了 271 个漏洞，数量是使用旧版 Claude Opus 4.6 模型在 Firefox 148 中发现漏洞数量的十倍以上。

IBM 加入该联盟

IBM 于 5 月 19 日宣布加入"玻璃翼计划"（Project Glasswing），将 Mythos Preview 部署至其网络安全工作流程，同时与 Red Hat 联合开发了更多 AI 驱动的安全工具。至此，该计划的成员数量已超过最初的十二家创始合作伙伴，其中包括苹果、微软、谷歌、CrowdStrike、英伟达 以及 Palo Alto Networks。

CrowdStrike 首席技术官 Elia Zaitsev 在今年 4 月该计划启动时警告称："从漏洞被发现到遭攻击者利用，这一时间窗口已大幅压缩——过去需要数月才能完成的攻击，如今借助 AI 几分钟内便可实现。"

质疑者的看法

并非所有人都认为这些结果代表着独特的突破。curl 的创始人丹尼尔·斯滕伯格指出，他的项目正经历有史以来最密集的漏洞发现期——但这些新发现均未使用 Mythos，而是使用廉价的开源模型就取得了相当的成果。网络安全公司 Aisle 的首席运营官贾亚·巴卢在接受彭博社采访时表示，她的团队仅凭小型开放权重模型便能复现 Anthropic 所重点展示的发现。Anthropic 自身也承认，同等能力很可能会在六到十八个月内扩散至其他方。