Anthropic 的新型 AI 發現 27 年前的漏洞，重塑安全格局

Anthropic 發起了一項全面的網路安全倡議，將其未發佈的尖端 AI 模型 Claude Mythos Preview 部署到關鍵軟體中，目前已發現數千個漏洞，其中包括全球最安全作業系統之一中存在的一個 27 年之久的缺陷。這項名為「玻璃翼專案」（Project Glasswing）的行動旨在讓防禦者在強大的 AI 驅動駭客工具廣泛普及之前佔據優勢，但也讓 Anthropic 自身的安全實踐面臨嚴峻審視。

「鑑於 AI 發展的速度，此類能力很快就會氾濫，甚至可能超出那些致力於安全部署的參與者範圍，」Anthropic 前沿紅隊網路主管 Newton Cheng 告訴 VentureBeat。「對經濟、公共安全和國家安全的影響可能是嚴重的。」

該公司限制該模型公開，而是向一個由亞馬遜、蘋果、Google、微軟和 Linux 基金會等 40 多家組織組成的財團提供訪問權限。在早期測試中，Anthropic 聲稱 Mythos 發現了 OpenBSD 中一個 27 年前的遠端漏洞，以及 FFmpeg 視訊庫中一個 16 年前的漏洞。在 CyberGym 評估基準測試中，Mythos Preview 得分為 83.1%，相比其第二優秀的模型 Claude Opus 4.6 所取得的 66.6% 實現了顯著跨越。

該倡議旨在改變網路安全的經濟模式，威脅到人工尋找漏洞的可行性，並迫使行業轉向在軟體開發生命週期中直接構建安全性。該項目由 Anthropic 承諾的 1 億美元模型使用額度支持，可能為合作夥伴節省數十億美元的潛在違約成本。這一數字也與 Anthropic 據報超過 300 億美元的年化營收運行率相呼應。

漏洞氾濫

Mythos 發現的漏洞數量之大帶來了物流挑戰。Anthropic 表示，它已經開發了一套分級篩選流程，在向維護者報告之前手動驗證高嚴重性漏洞，旨在避免壓垮那些無償工作的開源開發者。該公司還向 OpenSSF 和 Apache 軟體基金會等組織捐贈了 400 萬美元，以支持這些工作。

「過去，安全專業知識是只有擁有大型安全團隊的組織才能享有的奢侈品，」Linux 基金會首席執行官 Jim Zemlin 在一份聲明中表示。「玻璃翼專案提供了一個改變這種局面的可信路徑。」

此次受控發佈之際，Anthropic 自身的營運安全正面臨質疑。Mythos 的存在最初是因為一篇博客草稿被遺留在不安全的公共數據存儲中而被揭露的。幾天後，該公司又不小心在 npm 上發佈了其 Claude Code 軟體包的原始碼。雖然 Anthropic 表示這些是發佈工具中的人為錯誤，而非核心安全架構的漏洞，但這些事件引發了人們對其作為一種因過於危險而不予公開的 AI 託管人角色的質疑。

競賽已經開始

核心問題在於 Anthropic 的領先優勢能維持多久。公司高管估計，對手可能在幾個月內，而非幾年內開發出類似能力。因此，這項倡議是一場在攻擊工具氾濫之前修復關鍵系統的競賽。對於微軟和 CrowdStrike 等合作夥伴，該模型已被用於強化其自身的代碼庫。

此舉影響了整個安全行業，尤其是那些專注於漏洞管理和滲透測試的公司。如果 AI 能以每百萬輸出代幣 125 美元的成本實現大規模自動化發現，那麼由人類主導的安全審計商業模式將面臨巨大壓力。對於投資者而言，該項目突顯了尖端 AI 的雙重用途性質，即最大的風險和機遇是同一枚硬幣的兩面。市場尚未對能自主發現並利用關鍵軟體漏洞的 AI 所帶來的防禦和進攻影響進行定價。

本文僅供參考，不構成投資建議。