Anthropic 这次给 Project Glasswing 扩容,最扎眼的数字不是 150 家新增合作组织,而是前一批合作方已经发现了超过 1 万个高危或严重漏洞。
问题也卡在这里:发现了,不等于修好了。Anthropic 没有说这 1 万多个漏洞已经全部完成修复。
这件事的主线因此更清楚了。AI 安全模型正在把漏洞发现这一步加速,但软件世界真正吃紧的地方,正在从“找不到洞”变成“补不上洞”。刀快了,后面的手还没跟上。
发生了什么:Glasswing 扩容,但 Mythos 仍被关在门里
Project Glasswing 是 Anthropic 面向网络安全防守方的合作计划。它使用 Claude Mythos Preview 扫描关键软件代码库,帮助发现漏洞,并辅助补丁工作。
现在规模扩大了:
| 关键信息 | 当前变化 | 真正含义 |
|---|---|---|
| 合作规模 | 原有约 50 家合作伙伴,新增约 150 家组织 | 从小范围试点转向审核扩张 |
| 覆盖国家 | 新增组织来自 15 个以上国家 | 不再只是少数样板客户 |
| 行业范围 | 电力、水务、医疗、通信、硬件等 | 更贴近关键基础设施风险 |
| 已发现漏洞 | 初始合作方发现超过 1 万个高危或严重漏洞 | AI 找洞能力已进入实战区 |
| 开放状态 | 仍非公众开放,需满足安全要求 | Anthropic 还不敢把这把刀随便发出去 |
最容易误读的一点,是把它看成“安全版 Claude 开放给大家用”。不是。
Anthropic 另有 Claude Security,面向更常规的代码扫描和补丁建议,使用的是公开前沿模型。Mythos Preview 更敏感,仍在受控合作范围里。每个新增组织都要先过 Anthropic 的安全门槛。
这不是产品发布会式的热闹扩张,更像一次带闸门的军备转移:先把高能力模型交到一批可信防守方手里,抢在攻击者拿到类似能力之前,给防守端补一点时间差。
为什么重要:AI 找洞快了,旧安全流程会堵在后半段
传统漏洞处理靠一条慢链路:报告、复现、确认、CVE 协调、补丁发布、企业部署。
这条链路的好处是稳。坏处也明摆着:慢。
过去慢一点还能忍,因为漏洞发现本身也慢。现在 AI 模型把“可疑漏洞发现”的成本往下压,数量往上推,原来的节奏就会出问题。
Anthropic 自己给了一个判断:未来 6 到 12 个月,其他 AI 公司可能也会拥有 Mythos 级别的模型,其中一些模型未必配有足够防滥用机制。
这句话的重点不是 Anthropic 多厉害,而是防守窗口在缩短。
一旦类似能力可以低成本调用,攻击者不需要像过去那样手工慢慢找。他们可以批量筛选目标,批量生成线索,批量撞开那些多年没人管的代码角落。攻击会更频繁,也更难预测。
安全行业过去总说“攻防对抗”。但很多时候,防守方不是输在技术,而是输在流程。攻击者只需要成功一次,防守方要把每个系统、每个依赖、每个下游部署都照顾到。
“兵贵神速”这句老话,在这里很现实。AI 把攻击侧的速度提上去,防守侧如果还在排队走纸面流程,补丁就会变成事后悼词。
谁最受影响:关键基础设施和开源维护者
普通用户短期内不会直接拿到 Mythos,也不需要关心模型参数。真正被推到前台的是两类人。
一类是关键基础设施相关组织。
电力、水务、医疗、通信、硬件供应商,听起来离普通人很远,出事时又离每个人很近。Anthropic 估计,多数合作伙伴若遭遇重大攻击,受影响人数可能超过 1 亿。
这里的风险不是某个 App 崩了,而是供应链、公共服务和基础系统被拖下水。关键基础设施的麻烦在于,它们通常不年轻。代码老,依赖杂,供应商链条长,停机成本高。补丁不是点一下更新按钮,很多时候要排期、测试、验收,还要找人背锅。
另一类是开源维护者。
开源生态对 AI 扫描尤其敏感。一个维护者可能晚上下班后才处理 issue,却突然面对模型批量生成的“高危漏洞报告”。其中有真问题,也会有噪音。谁来复现?谁来判断优先级?谁来和下游沟通?谁来承担修坏的责任?
AI 把报告变多,不等于把维护者变多。
这才是现实成本。模型可以 24 小时扫代码,人不行。维护者的时间、判断力、责任边界,才是开源安全里最稀缺的资源。
我的判断:找洞不是终点,补丁链路才是分水岭
我更在意 Anthropic 没说出口的那半句:超过 1 万个高危或严重漏洞被发现,但修复状态不明。
这不是苛责 Anthropic。发现漏洞本来就只是第一步。真正麻烦的,是确认它是不是漏洞、影响范围多大、应该怎么披露、补丁会不会引入新问题、下游企业什么时候部署。
很多安全事故并不是因为补丁不存在,而是补丁没有进生产系统。更尴尬的是,补丁可能早就发了,企业资产清单却不知道自己用了哪个版本。纸面上安全,现实里裸奔。
所以 Project Glasswing 的价值,不该只按“发现了多少洞”来算。
更该看三件事:
- 发现的高危漏洞,有多少被人工确认;
- 确认后的漏洞,如何向维护者和供应链披露;
- 补丁发布后,有多少真正进入企业生产环境。
如果这三步接不上,AI 找洞越强,越可能制造一座漏洞堆场。看起来满地成果,实际到处积压。
这也是我不太买账某些 AI 安全叙事的地方。行业喜欢展示模型能力,因为那最容易讲故事:发现多少漏洞、击败多少基准、自动生成多少补丁建议。可是安全不是演示视频。安全是工单、审计、责任、变更窗口和凌晨回滚。
模型看着更强,产品反而可能更虚。因为真正的交付不在模型输出,而在组织能不能把输出变成可验证的修复。
Anthropic 这次少见地做对了一件事:没有把 Mythos 级能力直接做成公开产品。
这会牺牲增长速度,也会牺牲一部分商业想象。但在网络安全模型上,克制本身就是能力。刀快一分,鞘也要厚一分。把双用途模型先放进半封闭机制里跑,比拿“开放创新”当挡箭牌要负责任得多。
当然,半封闭也有代价。谁能进合作名单?谁被排除在外?开源项目和小型关键供应商有没有足够资源接入?安全要求会不会变成平台控制权?这些问题都不能靠一句“可信合作方”糊过去。
历史上很多基础设施技术都是这样扩散的。铁路、电力、通信网络,早期都不是单纯的技术问题,而是准入、标准、调度和事故责任问题。今天的 AI 网络安全模型也一样。能力越接近基础设施,治理就越不可能靠厂商自觉。
但眼下先承认一个事实:把 Mythos 级模型关在门里审核扩张,比一键开放给全网更合理。
防守方需要速度差。攻击者也在等同一把刀。
真正的考题已经换了。过去问 AI 能不能发现漏洞。现在要问,谁能把漏洞从模型输出一路送到生产系统的补丁状态。中间每慢一步,都是攻击者的时间红利。
Project Glasswing 的扩容,证明 AI 找洞进入实战。它没有证明 AI 安全已经闭环。
这正是最该警醒的地方:找洞破万只是开场,补丁落地才算交卷。