Anthropic 项目扫描开源代码，发现超万处漏洞

Anthropic 本周发布了 Project Glasswing 的首份进度报告，显示其受限的 Claude Mythos Preview 模型在运行约一个月后，扫描了 1000 多个开源项目，发现了超过 1 万个高危或严重漏洞。这一进展初步验证了该 AI 实验室雄心勃勃且颇具争议的计划——利用前沿 AI 在攻击者掌握同等能力之前加固全球软件基础设施。

数据

根据报告，Mythos Preview 在开源代码库中总计发现 23019 处问题，其中约 6202 处被评估为高危或严重漏洞。在由六家独立安全研究公司审查的 1752 个高危或严重发现中，90.6%（1587 个）被确认为真阳性。在确认的发现中，62.4% 被验证为真正的高危或严重级别。

一个值得注意的发现涉及 wolfSSL——一个用于全球数十亿嵌入式设备的开源加密库。Mythos Preview 构建了一个攻击代码，允许攻击者伪造证书，例如制作逼真的假银行网站，该漏洞已被分配编号。

在商业合作伙伴中，结果各不相同。Cloudflare 报告发现了 2000 个漏洞，其中 400 个为高危或严重。Mozilla 使用 Mythos Preview 在 Firefox 150 中发现了 271 个漏洞并修复——比使用旧版 Claude Opus 4.6 模型在 Firefox 148 中发现的漏洞数量多十倍以上。

IBM 加入联盟

IBM 于 5 月 19 日宣布加入 Project Glasswing，将 Mythos Preview 部署到其网络安全工作流中，并扩展与 Red Hat 合作开发的 AI 安全工具。此举使该计划的成员数超越了最初的 12 家创始合作伙伴，其中包括苹果、微软、谷歌、CrowdStrike、英伟达和 Palo Alto Networks。

CrowdStrike 首席技术官 Elia Zaitsev 在 4 月项目启动时警告说：“从漏洞被发现到被攻击者利用的时间窗口已经坍塌——过去需要数月的事情，现在借助 AI 只需几分钟。”

质疑之声

并非所有人都认为这些结果代表了独特突破。curl 创始人 Daniel Stenberg 指出，他的项目正经历有史以来最密集的漏洞发现期——但新发现中没有一个使用了 Mythos，廉价的开源模型也能产生类似结果。网络安全公司 Aisle 的首席运营官 Jaya Baloo 告诉彭博社，她的团队可以使用小型开源权重模型复现 Anthropic 强调的发现。Anthropic 自己也承认，同等能力很可能在 6 到 18 个月内扩散到其他参与者。