Anthropic Project Glasswing 更新：AI 一个月发现超 1 万高危漏洞

Anthropic 发布 Project Glasswing 首月成果：Claude Mythos Preview 发现超 10,000 个高危漏洞，开源软件中 90.6% 被确认真实有效。AI 安全审计从概念验证进入生产阶段。

核心结论

2026 年 5 月 22 日，Anthropic 发布了 Project Glasswing 的阶段性成果更新。上线仅一个月，Claude Mythos Preview 模型已和约 50 家合作伙伴共同发现了超过 10,000 个高危或严重漏洞，覆盖互联网最关键的基础设施软件。与此同时，Mythos Preview 对 1,000 多个开源项目的扫描累计发现了 23,019 个漏洞，其中 6,202 个被评估为高危或严重级别。

核心变化：AI 发现漏洞的速度远超人类修补的速度——"验证、披露和修复"已成为新的瓶颈。这对软件安全生态既是挑战也是机遇。

关键要点

事件时间：2026-05-22（Anthropic 官方发布）
影响范围：全球软件安全生态，开源维护者，企业安全团队
核心信号：AI 在网络安全领域的实用能力已远超大多数人的预期，安全从业者必须重新评估威胁模型和响应速度

背景与触发事件

2026 年 4 月，Anthropic 正式启动 Project Glasswing——一项与约 50 家合作伙伴联合进行的项目，旨在利用 Claude Mythos Preview 模型的能力，在 AI 被恶意利用之前加固全球最关键的基础设施软件安全。此前 Anthropic 曾强调，Mythos Preview 在网络安全能力上已达到新高度。

5 月 22 日的这篇更新是 Glasswing 启动以来的首份正式成果报告，首次公开了合作伙伴的实际使用数据和外部第三方验证结果。

关键影响（按维度）

维度	变化	对我们意味着什么	建议动作
漏洞发现效率	部分合作伙伴的漏洞发现速度提升 10 倍以上	AI 辅助代码审计已不再是概念验证，而是可投入生产	尽快将 AI 安全扫描工具接入开发管线
开源软件安全	Mythos 扫描 1,000+ 项目发现 23,019 个漏洞，90.6% 为有效真阳性	你依赖的开源库可能已有未修补的漏洞	检查项目依赖的漏洞报告，缩短补丁周期
补丁循环压力	每个高危漏洞平均需要 2 周才能修补	发现速度快于修复速度，攻击窗口期拉长	建立自动化补丁 CI/CD 管线，缩短测试部署周期
企业安全实践	Cloudflare 通过 Mythos 发现 2,000 个漏洞，误报率优于人类测试者	人类安全审计员的角色正在从"找漏洞"转向"分类和修复"	重新定义安全团队的工作流程和人员配置
金融安全实战	协助合作银行阻止了一笔 150 万美元的欺诈转账	AI 不仅用于代码审计，还能直接参与实时安全防御	在敏感业务环节引入 AI 安全辅助

适配建议

对内容生产团队的启示

Anthropic 的 Glasswing 项目中有一个耐人寻味的细节：Mozilla 用 Mythos Preview 在 Firefox 150 中发现了 271 个漏洞，比 Claude Opus 4.6 在 Firefox 148 中发现的多出 10 倍。这意味着模型能力在安全领域正在经历跳跃式增长。对于依赖 AI Agent 做内容自动化的团队来说，可以预期同样的能力跃升也会出现在内容的准确性、安全性和一致性上。

可执行要点

审查你的工具链：评估你使用的 AI 技术栈在以下维度的安全性：代码审计、依赖管理、权限控制
更新安全策略：Mythos 级别的模型意味着漏洞发现不再是稀缺资源——真正的稀缺是快速修复的能力。建立自动化质量门和补丁管线
关注开源维护者困境：报告显示部分开源维护者明确请求 Anthropic 减缓披露速度（因为他们需要更多时间设计补丁）。如果你依赖关键开源项目，考虑捐款或贡献人力

示例：Mythos Preview 的真实漏洞案例

Mythos Preview 在 wolfSSL（一个被数十亿设备使用的开源加密库）中发现了一个高危漏洞：AI 成功构建了利用该漏洞的攻击代码，攻击者可以伪造证书，让用户访问看似正常的银行或邮件服务网站，实则被攻击者控制。该漏洞已被修复（CVE-2026-5194），但这件事清楚地表明：AI 已具备实战级漏洞利用能力。

下一步行动

想学如何用 AI 搭建自动化工作流？看：AI Agent 驱动网站自动化运营：30分钟搭建内容全自动流水线
真实案例：独立开发者用 AI Agent 月入数千美元——18岁零基础用AI Agent造出月入$5,000的SaaS
想给 AI 工作流加质量门？看：如何给 AI 自动化工作流加质量门