← 返回首页 — Anthropic News — 进阶
行业观点 · 深度解读 · IMPACT 8/10

AI 安全革命:Anthropic 的 Glasswing 项目如何用大模型重塑全球软件漏洞攻防格局

原文: May 22, 2026AnnouncementsProject Glasswing: An initial update

Anthropic 的 Glasswing 项目利用 Claude Mythos Preview 模型,在一个月内于全球关键软件中发现超过一万个高危漏洞,将软件安全的核心瓶颈从“发现漏洞”转变为“修复漏洞”。

核心要点
  • AI 模型(Mythos Preview)已能系统性、大规模地发现高危软件漏洞,效率远超人类团队。
  • 软件安全的主要矛盾从“漏洞发现速度”转变为“漏洞验证、披露和修复速度”。
  • 该能力已在关键基础设施(如 Cloudflare、Firefox)和金融反欺诈场景中得到初步验证。
  • 这标志着 AI 正在从“被防御的对象”转变为“最强大的防御工具”,将深刻改变网络安全攻防的不对称性。
深度解读

起因:当 AI 的“矛”变得过于锋利,我们急需更坚固的“盾”

长期以来,网络安全领域存在一个令人不安的“攻防不对称”:攻击者(黑客)只需找到一个漏洞就能入侵系统,而防御者(安全团队)却需要守护成千上万个潜在的弱点。随着 AI 模型能力越来越强,一个迫在眉睫的恐惧是:如果这些强大的模型被恶意行为者用来自动化寻找和利用漏洞,全球的数字基础设施将面临空前威胁。Anthropic 的 Glasswing 项目,正是在这个背景下启动的——与其被动恐惧,不如主动利用顶尖 AI 的能力,跑在攻击者前面,把全世界最关键的软件“打扫干净”。

拆解:从“人找虫”到“AI 扫虫”,效率提升十倍以上

Glasswing 项目的核心,是让 Anthropic 最强大的保密模型 Claude Mythos Preview 扫描全球系统性重要的软件(如互联网基础设施、金融系统等)。一个月内,它就在合作伙伴(如 Cloudflare、Mozilla)的系统中发现了超过一万个高危或严重漏洞。这个数字是惊人的。更关键的是效率对比:Cloudflare 团队反馈,AI 的漏洞发现率比人类测试团队提高了十倍以上,且误报率更低。Mozilla 在测试中,用新模型发现的漏洞数是上一代模型的十倍。这揭示了一个根本性转变:漏洞发现的瓶颈,已经从人类的认知和体力极限,转移到了 AI 的算力与模型能力上。

趋势洞察:安全行业的“范式转移”与 AI 的新角色

Glasswing 的初步成果揭示了几个深层趋势:

  1. 安全工作的核心矛盾转移:过去,安全团队的主要精力花在“寻找漏洞”上。现在,AI 能以极快的速度批量发现漏洞,新的瓶颈变成了“我们如何快速验证、协调披露和部署补丁”。正如微软和 Palo Alto Networks 所说,他们需要处理的补丁数量正在急剧增加。这要求整个软件行业的漏洞响应流程必须进行革命性提速。

  2. AI 从“被保护对象”变为“顶级防御武器”:过去我们谈论 AI 安全,更多是担心 AI 模型本身被攻击或滥用。现在,像 Mythos Preview 这样的模型,正在成为保护数字世界最强大的工具。它不仅能找代码漏洞,还能在银行场景中实时识别并阻止 150 万美元的欺诈转账。AI 正在扮演一个“超级安全分析师”的角色,7x24 小时不间断地审查代码和交易。

  • 开源软件安全的“公共品”属性被强化:Anthropic 主动用该模型扫描了上千个支撑互联网的开源项目,发现了六千多个高危漏洞。这相当于为整个数字社会提供了一次大规模的“安全体检”。未来,顶尖 AI 公司将其安全能力作为“公共产品”输出,可能成为一种新的行业规范和责任。

  • 实用价值:对开发者和企业的启示

    对于 IT 从业者而言,这不是遥远的研究新闻,而是即将改变工作方式的现实:

    • 安全响应流程必须重塑:如果你所在的企业依赖大量开源组件或自身代码库庞大,那么未来借助 AI 进行自动化、持续性的漏洞扫描将成为标配,而非可选。你需要准备好应对 AI 可能带来的“漏洞信息海啸”,建立更高效的补丁管理和部署流程。
    • 重新评估安全团队的职能:安全专家的角色可能从“手动挖洞”更多转向“漏洞验证、风险评估和修复策略制定”。理解 AI 发现的漏洞原理、评估其实际风险、设计修复方案,这些高阶判断力将变得更加重要。
    • 对 AI 能力的认知需要更新:AI 不仅是写代码、聊天的助手,它在高度专业、逻辑严密的安全攻防领域已经达到了超越人类专家的水平。在评估任何软件或系统的安全性时,考虑其是否经过了先进 AI 模型的审计,将成为一个新的重要指标。

    反常识/意外

    一个可能被忽略的点是:Glasswing 项目暴露了当前软件工程实践的一个巨大短板——我们的代码生产和维护流程,已经跟不上 AI 的审查速度了。 这就像拥有了一台能每秒检测一万件产品的超级质检仪,但我们的流水线和返工车间还是手工作坊的速度。这不仅仅是安全领域的问题,它预示着在 AI 能力全面超越人类的各个领域,人类社会的“响应带宽”将成为新的瓶颈。另一个意外是,Anthropic 选择将如此强大的能力首先用于“防御”而非商业变现,并与社区共享部分成果,这在一定程度上设定了 AI 安全竞赛的伦理基调。


    原文地址: May 22, 2026AnnouncementsProject Glasswing: An initial update

    分析由 BitByAI 生成 · 阅读原文

    原文来自 Anthropic News · 由 BitByAI 自动解读