Anthropic的“玻璃翼计划”：AI已发现上万高危漏洞，网络安全进入新纪元

起因：AI安全能力的“奇点”时刻

Anthropic的“玻璃翼计划”不是一个常规的模型更新公告，而是一份关于AI能力如何颠覆一个成熟行业的早期报告。背景是，随着AI模型能力越来越强，它们不仅能创造价值，也可能被用于攻击。Anthropic的思路是“以攻为守”——在更强大的AI模型被恶意利用之前，先用它来加固全球最关键的软件。这件事之所以现在值得聊，是因为它首次用大规模、可量化的结果证明，AI在网络安全领域的能力已经跨过了一个临界点：发现漏洞的速度不再是瓶颈，整个行业的响应流程（验证、披露、补丁）反而成了新的短板。

拆解：从“人找虫”到“AI洪水”

核心变化是漏洞发现效率的指数级提升。传统上，安全研究员像“啄木鸟”，依靠专业知识和耐心手动寻找漏洞。而Mythos Preview这样的模型，则像一场“漏洞洪水”，在极短时间内冲刷出成千上万的问题。文中几个例子极具冲击力：Cloudflare在关键系统中发现了2000个漏洞（400个高危），且误报率优于人类；Mozilla在Firefox 150中发现的漏洞数是上一个版本（用Claude Opus 4.6测试时）的十倍以上。这揭示了一个深层趋势：AI正在将软件安全从一个“稀缺的专业技能”问题，转变为一个“大规模数据处理”的工程问题。 未来的安全团队，核心能力可能不再是亲自挖洞，而是高效管理AI挖出的海量漏洞队列，并优先处理最危险的那些。

趋势洞察：网络安全的游戏规则被改写

这件事的影响远超技术层面。首先，它重新定义了“安全左移”。过去“安全左移”意味着在开发早期介入，而现在，AI可以在代码甚至设计阶段就进行地毯式扫描。其次，它暴露了全球软件供应链的脆弱性。当一个AI模型就能在基础开源项目中找出上万漏洞时，说明我们数字世界的“地基”远比想象中松软。最后，它开启了一场新的“军备竞赛”。防守方用AI加固，攻击方未来也必然用AI寻找攻击面。Anthropic选择谨慎披露细节（遵循90天漏洞披露惯例），正是意识到这种能力的双刃剑效应。这预示着，未来AI安全能力的发布和管控，将变得像核技术一样敏感。

实用价值：开发者与安全从业者该如何应对？

对于普通开发者和IT从业者，这意味着几件事：第一，对依赖的开源组件和基础软件的安全信心需要调整。你用的某个流行库，可能很快会被AI报告出大量漏洞，这不代表它突然变差了，而是检测能力变强了。第二，安全工具的形态将剧变。未来的SAST（静态应用安全测试）、DAST（动态应用安全测试）工具，内核必然是类似Mythos的大模型。第三，安全团队的技能树需要更新。漏洞分类、优先级判定、补丁管理、与开发团队的协作流程设计，这些“漏洞后管理”能力将变得比手动挖洞更重要。对于个人开发者，养成及时更新依赖、关注安全公告的习惯，其重要性被进一步放大了。

反常识/意外：AI的“超人”精度

一个容易被忽略的细节是外部评测报告中提到的“绝对前所未有的精度”（absolutely unprecedented precision）。通常人们认为AI大模型是“概率性”的，可能产生大量误报。但多个独立测试表明，Mythos Preview在漏洞验证上达到了极高的准确性。这说明，顶尖的AI安全模型可能已经学会了某种形式的“代码逻辑推理”，而不仅仅是模式匹配。这颠覆了“AI只是辅助工具”的认知，它在某些专项任务上，确实达到了“超人”水平。另一个意外是，如此重大的能力突破，并非由传统的安全巨头（如CrowdStrike、Palo Alto Networks）率先公布，而是由一家AI模型公司（Anthropic）主导。这强烈暗示，未来网络安全的核心创新引擎，可能正在从安全公司向AI实验室转移。

---

原文地址: May 22, 2026AnnouncementsProject Glasswing: An initial update