玻璃翼项目初步进展更新2026 年 5 月 22 日上个月Anthropic 启动了玻璃翼项目这是一项旨在在日益强大的 AI 模型被用于攻击之前保护全球关键软件安全的合作项目。自项目启动以来Anthropic 和大约 50 个合作伙伴利用 Claude Mythos Preview 在全球最具系统重要性的软件中发现了一万多个高严重级或关键严重级漏洞。过去软件安全的进展受限于发现新漏洞的速度而现在则受限于验证、披露和修复 AI 发现的大量漏洞的速度。在这篇文章中Anthropic 将分享在玻璃翼项目开展的最初几周里在网络安全这一关键挑战上的发现。会重点关注 Mythos Preview 性能的早期公开证据、对数千个开源软件项目扫描的初步结果以及这些进展对当下网络防御者的意义。此外还会介绍玻璃翼项目的后续计划以及对未来发布 Mythos 级模型的思考。早期成果讨论 Mythos Preview 发现结果的方式软件行业长期以来的惯例是在发现新漏洞 90 天后进行披露如果在 90 天内就有了补丁通常会在补丁发布约 45 天后披露。这样做是为了让终端用户有时间在攻击者利用漏洞之前更新软件。Anthropic 的协调漏洞披露政策也遵循这一做法。然而这意味着已披露的漏洞是 AI 模型网络攻击能力加速发展的滞后指标。目前Anthropic 还不能在不危及终端用户的情况下详细介绍合作伙伴使用 Mythos Preview 的发现。因此会提供该模型性能的示例以及截至目前进展的汇总统计数据。一旦 Mythos Preview 发现的漏洞补丁广泛部署Anthropic 将更详细地分享发现。来自合作伙伴和外部测试人员的证据玻璃翼项目的初始合作伙伴负责构建和维护对互联网及其他关键基础设施运行至关重要的软件。修复这些代码中的漏洞能降低依赖这些软件的众多组织的风险进而减少数十亿终端用户面临的风险。一个月后大多数合作伙伴在各自的软件中发现了数百个关键或高严重级漏洞总体发现的漏洞数量超过一万个。有几家合作伙伴表示他们发现漏洞的速度提高了十倍以上。例如Cloudflare 在其关键路径系统中发现了 2000 个漏洞其中 400 个为高严重级或关键严重级Cloudflare 团队认为其误报率比人工测试人员更低。这与外部测试人员对 Mythos Preview 性能的体验以及近期对该模型的额外评估结果相符英国 AI 安全研究所报告称Mythos Preview 是首个能完整解决其网络靶场多步骤网络攻击模拟问题的模型。Mozilla 发现并修复了 Firefox 150 中的 271 个漏洞是使用 Claude Opus 4.6 在 Firefox 148 中发现漏洞数量的十倍多。XBOW一个独立的安全平台报告称Mythos Preview 在其网络漏洞利用基准测试中“比现有所有模型都有显著提升”并且在逐令牌的基础上提供了“前所未有的精度”。ExploitBench 和 ExploitGym 这两个近期发布的用于衡量模型漏洞利用开发能力的学术基准测试表明Mythos Preview 表现最为出色。Anthropic 在前沿红队博客上更详细地讨论了这些基准测试对该模型的评估结果。更广泛地说Anthropic 发现补丁软件的推出速度加快了。最新的 Palo Alto Networks 版本包含的补丁数量是往常的五倍多。微软报告称他们将发布的新补丁数量“在一段时间内将持续增加”。甲骨文发现并修复其产品和云服务中漏洞的速度比以前快了数倍。Mythos Preview 在其他安全工作中也发挥了作用。例如在一个玻璃翼项目合作银行中Mythos Preview 帮助检测并阻止了一起 150 万美元的欺诈性电汇当时一名威胁行为者入侵了客户的电子邮件账户并进行了诈骗电话。开源软件在过去几个月里Anthropic 使用 Mythos Preview 对 1000 多个开源项目进行了扫描这些项目共同支撑着互联网和自身的大部分基础设施。到目前为止Mythos Preview 估计在这些项目中发现了 6202 个高严重级或关键严重级漏洞总共有 23019 个漏洞包括估计为中低严重级的漏洞。其中 1752 个高严重级或关键严重级漏洞已由六家独立安全研究公司之一进行了仔细评估少数情况下由 Anthropic 自己评估。其中 90.6%1587 个被证明是有效的真实漏洞62.4%1094 个被确认为高严重级或关键严重级。这意味着即使 Mythos Preview 不再发现新的漏洞按照目前筛选后的真实漏洞率它也有望在开源代码中发现近 3900 个高严重级或关键严重级漏洞这还不包括为玻璃翼项目合作伙伴发现的漏洞。需要说明的是Anthropic 打算在一段时间内继续扫描开源代码因此这个数字预计还会增加。Mythos Preview 检测到的一个开源漏洞示例是在 wolfSSL 中这是一个以安全性著称的开源加密库全球数十亿设备都在使用。Mythos Preview 构建了一个漏洞利用程序攻击者可以利用该程序伪造证书例如用这些证书创建一个银行或电子邮件提供商的虚假网站。这个网站在终端用户看来完全合法但实际上由攻击者控制。Anthropic 将在接下来的几周内发布对这个现已修复的漏洞编号为 CVE - 2026 - 5194的完整技术分析。如前所述修复这类漏洞的瓶颈在于人工筛选、报告以及设计和部署补丁的能力。有了 Mythos Preview发现漏洞变得容易多了。Anthropic 创建了一个开源漏洞仪表盘展示了披露过程的不同阶段并会随着时间跟踪进展。该仪表盘显示了所有严重级别的漏洞而不仅仅是 Mythos Preview 最初评估为高严重级或关键严重级的漏洞。注意每个阶段漏洞数量的急剧下降这反映了验证和修复每个漏洞所需的大量人力。Anthropic 筛选漏洞的过程非常严格。首先Anthropic 或合作的外部安全公司会重现 Mythos 发现的问题并重新评估其严重程度。确认漏洞真实存在后会检查是否已有修复方案并向软件维护者撰写详细报告。在此过程中格外谨慎因为除了维护开源软件的常规挑战外维护者还面临大量低质量、AI 生成的漏洞报告。事实上一些维护者告诉 Anthropic他们目前的处理能力严重受限甚至要求 Anthropic 放慢披露速度因为他们需要更多时间来设计补丁。平均而言Mythos Preview 发现的高严重级或关键严重级漏洞需要两周时间来修复。应维护者的要求Anthropic 有时会直接披露漏洞而不进行进一步评估。目前Anthropic 已报告了 1129 个未经审查的漏洞Mythos Preview 估计其中 175 个为高严重级或关键严重级。Anthropic 估计到目前为止已向维护者披露了 530 个高严重级或关键严重级漏洞。这是基于 Claude 在直接披露情况下对严重程度的评估以及维护者或 Anthropic 的安全合作伙伴在有可用信息时的评估。还有 827 个已确认的漏洞以同样方式估计为高严重级或关键严重级Anthropic 正尽快披露。Anthropic 报告的 530 个高严重级或关键严重级漏洞中有 75 个已被修复其中 65 个已发布公开公告。补丁数量仍然相对较少原因有三其一Anthropic 仍处于协调漏洞披露政策规定的 90 天窗口期早期预计很快会有更多补丁发布其二Anthropic 可能低估了补丁数量因为有些漏洞在没有公开公告的情况下就被修复了在这种情况下Anthropic 只能依靠 Claude 自行扫描补丁其三补丁数量少反映了一个实际问题即使 Anthropic 的披露速度相对较慢Mythos Preview 仍给本就不堪重负的安全生态系统增加了压力。与修复漏洞的难度相比发现漏洞相对容易这对网络安全构成了重大挑战。成功应对这一挑战将使软件比以往更加安全。下面将讨论网络防御者可以采取的一些应对措施。适应网络安全新阶段具备与 Mythos Preview 类似网络安全技能的模型很快将更广泛地可用。软件行业需要做出更大努力来管理这些模型将产生的大量发现结果。目前从发现漏洞、创建补丁到终端用户广泛部署补丁之间往往存在较长的时间差。这为攻击者利用关键软件留下了很大的窗口期。Mythos 级模型显著缩短了发现和利用漏洞所需的时间和成本放大了这些时间差带来的风险。最终Mythos 级模型将使开发者在软件部署前发现漏洞从而构建更安全的软件。但在这个过渡时期即漏洞被快速发现但缓慢修复的阶段会带来新的风险。软件开发者和用户应立即采取行动降低自身面临的这些风险。以下建议并非新内容许多研究人员包括 Anthropic 的研究人员目前正在研究更好、更持久的解决方案。在此期间做好基础工作很重要软件开发者应缩短补丁周期尽快提供安全修复。合理使用公开可用的 AI 模型可以提供帮助Anthropic 正在开发工具并分享研究成果以支持这一点。开发者还应帮助用户及时更新软件尽可能简化更新安装流程在可行的情况下对于仍在使用已知漏洞软件的用户应更积极地推动其更新。网络防御者应缩短补丁测试和部署的时间线。美国国家标准与技术研究院和英国国家网络安全中心等组织制定的关键控制措施现在更加重要因为这些措施不依赖于单个补丁及时到位就能提高安全性。这些措施包括强化网络默认配置、强制实施多因素认证以及保留全面的日志以进行检测和响应。使用公开可用 AI 模型进行网络防御的工具许多通用模型已经能够发现大量软件漏洞尽管它们在发现最复杂的漏洞或有效利用漏洞方面不如 Claude Mythos Preview。玻璃翼项目已经促使许多其他组织使用这些通用模型对自己的代码库采取行动Anthropic 正在努力使这一过程变得更加容易。首先Anthropic 为 Claude Enterprise 客户推出了 Claude Security 公开测试版。这是一个帮助团队扫描代码库漏洞并生成修复建议的工具。自发布以来的三周内Claude Opus 4.7 已用于修复 2100 多个漏洞。这比上述开源补丁修复速度快主要是因为企业是在修复自己的代码而开源修复通常需要志愿者维护者通过协调披露来完成。Anthropic 还启动了网络验证计划允许出于合法网络安全目的如漏洞研究、渗透测试和红队攻击使用 Anthropic 模型的安全专业人员在无需某些防止网络滥用保障措施的情况下进行操作。现在Anthropic 应符合条件的客户安全团队的要求提供 Anthropic 和合作伙伴在使用 Mythos Preview 时的工具。目标是让用户无需大量设置就能充分发挥高性能公开模型的优势。此次发布的内容包括Anthropic 和合作伙伴构建并共享的技能用于重复工作的自定义指令。一个帮助 Claude 映射代码库、启动扫描子代理、筛选发现结果并撰写报告的工具。一个威胁模型构建器用于映射代码库以识别潜在攻击目标并相应地确定模型工作的优先级。玻璃翼项目合作伙伴之一思科最近还开源了其 Foundry 安全规范以帮助其他防御者构建类似的评估系统。支持生态系统Anthropic 与开源安全基金会的 Alpha - Omega 项目建立了合作关系这将支持该基金会协助维护者处理和筛选漏洞报告的工作。Anthropic 还将继续发布关于前沿模型能力如何更好支持网络防御者的研究。Anthropic 还支持了 ExploitBench 和 ExploitGym 这两个新基准测试的开发它们使研究人员能够跟踪前沿 AI 模型的漏洞利用开发能力的变化Anthropic 在前沿红队博客上进行了讨论。Anthropic 通过外部研究人员访问计划支持其他高质量定量基准测试的开发。最后Claude for Open Source 为维护者和贡献者提供支持Anthropic 承诺未来会对采用的任何开源软件包进行扫描。玻璃翼项目的下一步计划AI 的快速发展意味着像 Mythos Preview 这样强大的模型很快将由许多不同的 AI 公司开发出来。目前包括 Anthropic 在内的任何公司都尚未开发出足够强大的保障措施以防止此类模型被滥用并造成严重危害。这就是 Anthropic 尚未向公众发布 Mythos 级模型的原因也是启动玻璃翼项目的原因如果一个同样强大的模型在没有保障措施的情况下发布世界上几乎任何人都将更容易、更廉价地利用有缺陷的软件。玻璃翼项目帮助最具系统重要性的网络防御者获得不对称优势。然而迫切需要尽可能多的组织加强其网络防御。Anthropic 希望通用模型以及为此提供的新工具、资源和研究能支持这些组织改善其网络安全状况。接下来Anthropic 将与关键合作伙伴包括美国及盟友政府合作将玻璃翼项目扩展到更多合作伙伴。在不久的将来一旦 Anthropic 开发出所需的更强大保障措施期待通过全面发布使 Mythos 级模型可用。克服这些风险后将迎来一个令人鼓舞的未来重要代码将比现在得到更好的加固黑客攻击将大幅减少。虽然困难重重但 Anthropic 相信玻璃翼项目能够帮助实现这一目标。相关内容2028全球 AI 领导力的两种情景Anthropic 对中美 AI 竞争的看法。教会 Claude 为什么关于 Anthropic 如何减少代理不一致性的新研究。自然语言自动编码器将 Claude 的思维转化为文本像 Claude 这样的 AI 模型用文字交流但用数字思考。在这项研究中Anthropic 训练 Claude 将其思维转化为人类可读的文本。产品ClaudeClaude CodeClaude Code EnterpriseClaude CoworkClaude SecurityClaude for ChromeClaude for SlackClaude for Microsoft 365技能Max 计划团队计划企业计划下载应用定价登录 Claude模型Mythos PreviewOpusSonnetHaiku解决方案AI 代理代码现代化编码客户支持教育金融服务政府医疗保健法律生命科学非营利组织安全小企业Claude 平台概述开发者文档定价市场区域合规Claude on AWSGoogle Cloud 的 Vertex AIMicrosoft Foundry控制台登录资源博客Claude 合作伙伴网络社区连接器课程客户案例Anthropic 的工程团队活动Claude Code 内幕Claude Cowork 内幕Claude Enterprise 内幕Claude Security 内幕插件由 Claude 提供支持服务合作伙伴创业公司计划教程用例帮助与安全可用地区状态支持中心公司Anthropic职业机会经济前景研究新闻Claude 的宪法负责任的扩展政策安全与合规透明度条款与政策隐私政策消费者健康数据隐私政策负责任的披露政策商业服务条款消费者服务条款使用政策