Anthropic Glasswing 一月深度报告:AI 发现超 10,000 个高危漏洞,安全行业面临洪流挑战
Anthropic 发布 Project Glasswing 一个月初始更新报告:Claude Mythos Preview 与约 50 家合作伙伴发现超 10,000 个高危漏洞。Cloudflare 发现 2,000 个,Mozilla 修复速度提升 10 倍,开源项目预计发现 3,900 个高危漏洞。安全行业正式进入 AI 漏洞洪流时代。
2026年5月24日 · 阅读约 5 分钟
核心结论
2026 年 5 月 22 日,Anthropic 发布 Project Glasswing 初始更新报告,披露了其安全 AI 模型 Claude Mythos Preview 上线一个月后的战果:与约 50 家合作伙伴共同发现超过 10,000 个高危/严重级别漏洞,其中 Cloudflare 一家就发现了 2,000 个漏洞。更值得关注的是,Anthropic 用 Mythos Preview 扫描了超过 1,000 个开源项目,预计将发现近 3,900 个高危/严重漏洞——其中 90.6% 经外部安全研究机构确认为真实的真阳性。
关键要点
- 事件发生时间:2026-05-22
- 影响对象:网络安全行业、开源软件维护者、内容创作者和 SaaS 运营者
- 核心变化:软件安全领域的瓶颈从"发现漏洞"转向"验证和修复漏洞"
背景与触发事件
2026 年 4 月,Anthropic 联合约 50 家合作伙伴启动了 Project Glasswing(玻璃翼计划),目标是利用 Claude Mythos Preview 模型在 AI 能力达到攻击者可用水平之前,抢先发现并修复全球关键软件的漏洞。一个月后的初始更新报告揭示了 AI 在网络安全领域的巨大潜力——以及伴随而来的新挑战。
核心洞察:漏洞发现速度不再受限于人力,而是受限于安全团队验证、披露和修复的速度。Mythos Preview 已将部分合作伙伴的漏洞发现效率提升超过 10 倍。
关键影响(按维度)
| 维度 | 变化 | 对我们意味着什么 | 建议动作 |
|---|---|---|---|
| 漏洞发现 | AI 模型一个月发现 >10,000 个高危/严重漏洞 | 安全行业供货量暴增,修复能力成为瓶颈 | 缩短补丁周期,建立自动化漏洞响应流程 |
| 开源安全 | 在 1,000+ 开源项目中预计发现 3,900 个高危漏洞 | 开源组件风险急剧上升,依赖管理必须自动化 | 使用 AI 辅助的依赖扫描工具,及时跟踪 CVE 更新 |
| 补丁速度 | Palo Alto 补丁量增 5 倍,微软补丁量持续增长 | 安全运维团队面临"补丁洪流" | 建立自动化补丁测试和部署管道 |
| 攻击面 | 漏洞修复窗口期不变,但发现速度翻了 10 倍 | 攻击者利用已知漏洞的风险窗口扩大 | 强化网络默认配置、强制 MFA、保持完整日志审计 |
| 反欺诈 | Mythos 帮助银行阻止一笔 $150 万欺诈转账 | AI 在主动防御领域已有实际价值 | 将 AI 模型纳入反欺诈和异常检测工作流 |
适配建议
对内容运营和 SaaS 创业者的影响
- 如果你运营的任何平台依赖开源组件(如 n8n、Next.js、Node.js 等),现在就需要建立自动化的 CVE 跟踪和补丁更新机制
- AI 安全能力的快速提升意味着:你的自动化工作流和 AI Agent 需要更强的安全审计环节
- Mythos Preview 发现的 wolfSSL 证书伪造漏洞(CVE-2026-5194)表明:即使是看似安全的加密库也可能有 AI 才能发现的漏洞——不要假设"开源=安全"
任务清单
- 检查所有在线服务的依赖组件,确认没有已知未修补的高危 CVE
- 在 n8n 等自动化工作流中加入安全验证步骤(如输出内容检测、API 密钥轮换)
- 关注 Anthropic 后续开放的 Glasswing 安全工具(skills、harness、threat model builder)
- 评估是否需要将 AI 安全审计纳入内容生产管线
关键数据一览
Anthropic 在报告中披露了以下关键数据,全部来源于约 50 家合作伙伴和一个多月的实际测试:
- Cloudflare:发现 2,000 个漏洞(其中 400 个高危/严重),假阳性率优于人类测试者
- Mozilla:在 Firefox 150 中发现并修复 271 个漏洞,是上一版本的 10 倍
- Palo Alto Networks:最新版本补丁数量是平时的 5 倍
- Microsoft:补丁数量"将持续增长"
- Oracle:漏洞修复速度"比以前快数倍"
- UK AI Security Institute:Mythos Preview 是首个在其两个网络靶场中端到端通关的模型
- 开源项目:目前已向维护者披露 530 个高危/严重漏洞,其中 75 个已完成打补丁,65 个获得 CVE 编号
相关延伸资料
- Anthropic 官方:Project Glasswing 初始更新报告
- The Verge 报道:Anthropic 扩展 Glasswing 安全工具可用性
- Anthropic 开放的开源漏洞 Dashboard
工具词条(触发工具悬浮卡)
正文中自然出现的工具和技术品牌:OpenAI、Claude、Anthropic、n8n、Next.js
内链引导
- 想深入了解如何给自动化工作流加安全质量门?看:如何给 AI 自动化工作流加质量门:从输出到可信赖结果的实操指南
- 真实案例参考:有开发者用 AI Agent 搭建自动化系统实现月入过万——他用Claude + n8n搭建AI自动化系统,6个月从$4,000到$12,000/月