Anthropic 披露 Glasswing 首月成果：AI 发现超 1 万个高危漏洞

Anthropic 于 5 月 22 日公布了 Project Glasswing 项目的初步成果，该项目上线一个月以来，与约 50 家合作伙伴共同在重要软件中发现了超过 10,000 个高危和关键级别的安全漏洞。

根据项目合作方的反馈，Claude Mythos Preview 模型在漏洞发现方面表现出色，部分团队的效率提升了十倍以上，目前的主要挑战已从“发现漏洞”转变为“验证、披露及修复漏洞”。

Cloudflare 报告称，该项目在其核心系统中识别出 2000 个漏洞，其中 400 个被评定为高危或严重级别，且误报率低于人工测试。

Mozilla 在 Firefox 150 版本中修复了 271 个漏洞，这一数字是使用 Claude Opus 4.6 测试 Firefox 148 时发现漏洞数量的十倍以上。

在外部评估中，Mythos Preview 同样表现抢眼。英国 AI Security Institute 评价该模型是首个能够端到端攻破两个网络攻防靶场的模型。

独立安全平台 XBOW 指出，该模型在网页利用基准测试中的表现显著优于现有模型，并且准确率极高。

在针对开源软件的扫描中，Anthropic 在过去几个月检查了超过 1000 个项目，总共发现了 23,019 个漏洞（包括中低风险），其中模型估计有 6,202 个为高危或严重级别。

经过人工复核，1,752 个高危或严重漏洞被确认，其中 1,587 个为真实漏洞，真实率为 90.6%。在这部分真实漏洞中，1,094 个仍被判定为高危或严重级别，占比 62.4%。

根据目前的复核命中率估算，即使不再发现新漏洞，预计最终可能确认近 3900 个开源高危或严重漏洞。

漏洞的修复环节是真正的难点。Anthropic 表示，从高危或严重漏洞的发现到补丁的发布，平均需要两周时间。部分开源项目的维护者甚至表示希望放慢披露速度，因为他们处理 AI 生成漏洞报告的能力已接近极限。