Anthropic 披露 Glasswing 首月成果：AI 发现超 1 万个高危漏洞

Anthropic 于 5 月 22 日发布公告，透露其 Project Glasswing 项目在启动一个月后，联合了大约 50 家合作伙伴，成功在关键软件中识别出超过 10,000 个高危和关键级别的安全漏洞。

项目合作方反馈称，Claude Mythos Preview 模型极大地增强了漏洞发现能力，部分团队的漏洞查找效率提升了十倍以上，目前瓶颈已从漏洞的发现转移到了漏洞的验证、披露和修复环节。

Cloudflare 报告称，在其关键路径系统中发现了 2000 个漏洞，其中 400 个被评定为高危或严重级别，且其误报率低于人工测试。

Mozilla 在 Firefox 150 版本中修复了 271 个漏洞，这一数量是使用 Claude Opus 4.6 测试 Firefox 148 时所发现漏洞数量的十倍以上。

在外部评估中，Mythos Preview 模型同样表现出色。英国 AI Security Institute 认证该模型是首个能够端到端攻破两个网络攻防靶场的模型。

独立安全平台 XBOW 评价该模型在网页利用基准测试中的表现显著优于现有模型，并且准确度极高。

根据一篇博文，Anthropic 在过去几个月内对超过 1000 个开源项目进行了扫描，共发现 23,019 个漏洞（包括中危和低危），其中模型估计有 6,202 个属于高危或严重级别。

目前已有 1,752 个高危或严重漏洞完成了人工复核，确认其中 1,587 个为真实漏洞，真实率为 90.6%。在这其中，1,094 个被确认仍为高危或严重级别，占比 62.4%。

按照当前复核后的命中率估算，即使不再发现新的漏洞，最终可能还会沉淀出近 3,900 个开源高危或严重漏洞。

然而，真正的挑战在于漏洞修复。Anthropic 指出，从高危或严重漏洞的发现到补丁的落地，平均需要两周时间。部分开源项目的维护者甚至要求放慢披露漏洞的速度，因为他们处理 AI 生成漏洞报告的能力已接近饱和。