Anthropic 的新型 AI 发现 27 年前的漏洞，重塑安全格局

Anthropic 发起了一项全面的网络安全倡议，将其未发布的尖端 AI 模型 Claude Mythos Preview 部署到关键软件中，目前已发现数千个漏洞，其中包括全球最安全操作系统之一中存在的一个 27 年之久的缺陷。这项名为“玻璃翼项目”（Project Glasswing）的行动旨在让防御者在强大的 AI 驱动黑客工具广泛普及之前占据优势，但也让 Anthropic 自身的安全实践面临严峻审视。

“鉴于 AI 发展的速度，此类能力很快就会泛滥，甚至可能超出那些致力于安全部署的参与者范围，”Anthropic 前沿红队网络主管 Newton Cheng 告诉 VentureBeat。“对经济、公共安全和国家安全的影响可能是严重的。”

该公司限制该模型公开，而是向一个由亚马逊、苹果、谷歌、微软和 Linux 基金会等 40 多家组织组成的财团提供访问权限。在早期测试中，Anthropic 声称 Mythos 发现了 OpenBSD 中一个 27 年前的远程漏洞，以及 FFmpeg 视频库中一个 16 年前的漏洞。在 CyberGym 评估基准测试中，Mythos Preview 得分为 83.1%，相比其第二优秀的模型 Claude Opus 4.6 所取得的 66.6% 实现了显著跨越。

该倡议旨在改变网络安全的经济模式，威胁到人工寻找漏洞的可行性，并迫使行业转向在软件开发生命周期中直接构建安全性。该项目由 Anthropic 承诺的 1 亿美元模型使用额度支持，可能为合作伙伴节省数十亿美元的潜在违约成本。这一数字也与 Anthropic 据报超过 300 亿美元的年化营收运行率相呼应。

漏洞泛滥

Mythos 发现的漏洞数量之大带来了物流挑战。Anthropic 表示，它已经开发了一套分级筛选流程，在向维护者报告之前手动验证高严重性漏洞，旨在避免压垮那些无偿工作的开源开发者。该公司还向 OpenSSF 和 Apache 软件基金会等组织捐赠了 400 万美元，以支持这些工作。

“过去，安全专业知识是只有拥有大型安全团队的组织才能享有的奢侈品，”Linux 基金会首席执行官 Jim Zemlin 在一份声明中表示。“玻璃翼项目提供了一个改变这种局面的可信路径。”

此次受控发布之际，Anthropic 自身的运营安全正面临质疑。Mythos 的存在最初是因为一篇博客草稿被遗留在不安全的公共数据存储中而被揭露的。几天后，该公司又不小心在 npm 上发布了其 Claude Code 软件包的源代码。虽然 Anthropic 表示这些是发布工具中的人为错误，而非核心安全架构的漏洞，但这些事件引发了人们对其作为一种因过于危险而不予公开的 AI 托管人角色的质疑。

竞赛已经开始

核心问题在于 Anthropic 的领先优势能维持多久。公司高管估计，对手可能在几个月内，而非几年内开发出类似能力。因此，这项倡议是一场在攻击工具泛滥之前修复关键系统的竞赛。对于微软和 CrowdStrike 等合作伙伴，该模型已被用于强化其自身的代码库。

此举影响了整个安全行业，尤其是那些专注于漏洞管理和渗透测试的公司。如果 AI 能以每百万输出代币 125 美元的成本实现大规模自动化发现，那么由人类主导的安全审计商业模式将面临巨大压力。对于投资者而言，该项目突显了尖端 AI 的双重用途性质，即最大的风险和机遇是同一枚硬币的两面。市场尚未对能自主发现并利用关键软件漏洞的 AI 所带来的防御和进攻影响进行定价。

本文仅供参考，不构成投资建议。