一、Project Glasswing 概述
2026 年 4 月 7 日,Anthropic 正式宣布启动 Project Glasswing —— 一项旨在利用其最强大的 AI 模型 Claude Mythos Preview 自主发现和修复关键开源软件中零日漏洞的大规模计划。
这个项目标志着 AI 在网络安全领域的应用进入了一个全新阶段。过去,漏洞检测主要依赖安全研究员的手动代码审计、模糊测试(Fuzzing) 和静态分析工具。这些方法的共同局限是:速度慢、覆盖率有限、难以发现深层次的逻辑漏洞。
Claude Mythos Preview 的突破在于:它不仅是「静态扫描代码」,而是能够像顶级黑客一样思考——理解代码的意图、发现隐藏的假设、构造 exploit 链、并自动生成补丁。根据 Anthropic 的官方公告,Mythos Preview 在关键软件漏洞发现方面的能力已经 超越了除最顶尖人类安全研究员之外的所有人。
核心里程碑
首月成果: 项目启动一个月内,Glasswing 已识别超过 1 万个高危漏洞,涉及 Apache、Linux 内核组件、OpenSSL 等关键基础设施项目。
合作伙伴: Microsoft(MSRC)、Google Cloud(Vertex AI)、CrowdStrike、AWS 等全球顶尖安全机构均为 Glasswing 的早期合作伙伴。
严格管控: 出于安全考虑,Claude Mythos Preview 不向公众开放,仅通过受限预览版提供给经过审查的安全研究团队。Anthropic 认为这种能力如果落入恶意攻击者手中,风险远大于收益。
NCSC 警告: 英国国家网络安全中心(NCSC)已公开呼吁全球安全团队为 AI 增强型攻击做好准备。Glasswing 的出现实际上验证了 NCSC 的预警——攻击者和防御者之间的能力差距正在被 AI 迅速改变。
阅读收获:理解 Anthropic 如何用 AI 前沿模型重新定义漏洞检测范式,从「被动修补」到「主动猎杀」的根本性转变。
Project Glasswing 使用的 Claude Mythos Preview 是未公开发布的前沿模型,普通开发者无法直接访问。本文侧重解读其原理和行业影响,而非具体部署方案。
二、Claude Mythos Preview 模型能力分析
Claude Mythos Preview 是 Anthropic 旗下「最前沿的未发布模型」(Mythos Preview),专为代码安全分析设计。要理解为什么它能发现人类难以察觉的漏洞,需要从以下几个维度深入分析。
代码理解能力
传统安全工具的局限在于它们只能做模式匹配——比如查找已知的缓冲区溢出模式、硬编码密码、常见的 SQL 注入点等。但 Mythos Preview 的突破在于语义理解:它不仅能识别代码的表面结构,还能理解代码的设计意图和隐含假设。
举个例子:一个认证模块可能在代码层面上「看起来正确」——输入校验、参数化查询、加密存储都做对了。但 Mythos Preview 能发现更深层的问题——比如时间窗口竞争条件(TOCTOU),或者业务逻辑层面的权限绕过。这些漏洞往往需要同时理解多个模块之间的交互关系,传统工具对此无能为力。
自主利用链构造
这是 Mythos Preview 最具革命性的能力。 发现一个漏洞只是第一步;真正的威胁在于能否将多个看似独立的漏洞组合成一条完整的利用链(Exploit Chain)。
一个典型的利用链可能需要:
- 通过信息泄露获取内存地址
- 利用缓冲区溢出控制程序执行流
- 绕过 ASLR 和 DEP 保护机制
- 最终获取远程代码执行权限
Mythos Preview 能够自主推理出这样的链条——它不只是发现单个漏洞,而是理解整个系统的脆弱面,找到从入口点到目标权限的最短攻击路径。
补丁生成能力
发现漏洞并利用之后,Mythos Preview 还能自动生成安全补丁。这不仅仅是「加一个边界检查」那么简单——它需要考虑:
- 补丁是否会破坏现有功能
- 是否有更优雅的修复方案
- 补丁是否引入了新的安全隐患
- 补丁是否符合项目的代码风格和规范
这种「发现-利用-修复」的全链条能力,在 AI 安全领域是前所未有的。
理解 Mythos Preview 的核心技术突破:它不是简单的代码扫描器,而是具备「理解-推理-利用-修复」全链条能力的自主安全 Agent。
Mythos Preview 的系统卡(System Card)详细记录了其能力边界和安全测试结果。本文基于 Anthropic 公开信息,不代表对模型能力的全面评估。
三、Glasswing 工作流程详解
Project Glasswing 的工作流程是一个精心设计的负责任的漏洞披露流程,结合了 AI 的自动化能力和人类安全专家的判断力。
第一阶段:目标选择与优先级排序
Glasswing 团队首先确定关键软件清单——这些软件的漏洞可能对全球数字基础设施产生重大影响。优先级排序的标准包括:
- 使用范围:该软件是否被大量关键系统依赖
- 攻击面:是否暴露在互联网上
- 维护状态:是否由活跃的安全团队维护
- 历史漏洞:是否有频繁的安全问题记录
首批目标包括 Apache HTTP Server、OpenSSL、Linux 内核组件、OpenSSH、Nginx、PostgreSQL 等全球关键基础设施项目。
第二阶段:AI 自主扫描与分析
Claude Mythos Preview 对目标代码库进行深度分析,这个过程不是简单的静态扫描,而是包含多个层次的推理:
代码路径分析: 遍历所有可能的执行路径,包括错误处理分支、边界条件、并发场景等。传统工具往往只检查「主路径」,而 Mythos Preview 会穷举所有分支。
上下文感知分析: 理解代码的运行环境和依赖关系。比如,一个函数在本地环境中看似安全,但在分布式系统中可能因为时序问题而产生漏洞。
对抗性思维: 模拟攻击者的思维方式——「如果我想要绕过这个安全检查,我会怎么做?」这种红队思维是传统工具完全不具备的。
第三阶段:漏洞验证与利用链构造
发现潜在漏洞后,Mythos Preview 会尝试:
- 构造最小复现代码(PoC)——证明漏洞确实存在
- 探索利用链——单个漏洞能否与其他漏洞组合
- 评估影响范围——该漏洞能影响多少系统
- 计算 CVSS 评分——标准化漏洞严重程度
这个过程是完全自动化的,但所有结果都会经过人类安全专家复审,确保误报率极低。
第四阶段:负责任的披露与修复
这是 Glasswing 与「黑帽」行为的关键区别:
- 私下通知维护者:提供详细的漏洞描述、PoC 代码和修复建议
- 给予修复窗口期:通常为 30-90 天,取决于漏洞严重程度
- 协助修复:Mythos Preview 生成补丁草案,供维护者审核和采用
- 协调公开披露:修复完成后,协调 CVE 分配和公开时间
整个流程的设计原则是:让安全团队在攻击者之前获得修复时间。
了解 Glasswing 从代码扫描到补丁提交的完整流程,理解 AI 安全工具如何在现实世界中运作。
Glasswing 的工作流程设计为「白帽」模式——发现漏洞后首先通知项目维护者,给予修复时间后再公开。这与「零日武器化」的红帽模式有本质区别。
四、合作伙伴生态分析
Project Glasswing 不是 Anthropic 单独行动的孤军奋战,而是一个行业协作计划。Anthropic 选择了多家全球领先的安全机构作为早期合作伙伴,每家的角色和价值各不相同。
Microsoft MSRC(微软安全响应中心)
Microsoft 是全球最大的软件供应商之一,其产品覆盖操作系统、办公套件、云服务等关键领域。MSRC 作为 Glasswing 的合作伙伴,主要关注:
- Windows 内核和系统组件的漏洞检测
- Azure 云服务的安全加固
- Office 365 的企业级安全
Anthropic 在官方博客中特别提到与 MSRC 的合作,称「AI 正在改变安全软件的全球格局」。MSRC 的负责人表示,Mythos Preview 在 Windows 组件中发现的某些漏洞是传统模糊测试工具运行数月都未能发现的。
Google Cloud Vertex AI
Google 的参与具有特殊意义——Google 本身就是 Anthropic 的最大投资者(已投资超过 40 亿美元)。通过 Vertex AI 平台,Google 将 Mythos Preview 的能力提供给其企业客户:
- GKE(Google Kubernetes Engine) 容器安全
- Chrome 浏览器引擎的持续安全审计
- Android 系统组件的漏洞排查
这种集成的战略意图是:Google 在云市场中提供内置 AI 安全能力作为差异化竞争优势。
CrowdStrike
作为全球领先的端点检测和响应(EDR) 平台,CrowdStrike 与 Glasswing 的合作聚焦于:
- 威胁情报共享:将 Mythos Preview 发现的漏洞情报融入 Falcon 平台
- 攻击检测规则生成:基于新发现漏洞的特征自动生成检测规则
- 实时防护更新:缩短从漏洞发现到防护部署的时间窗口
CrowdStrike CEO 表示,加入 Glasswing 是为了「在 AI 驱动的威胁环境中保持领先」。
AWS
Amazon Web Services 的参与覆盖了云基础设施的核心层:
- Lambda 运行时的安全审计
- EC2 虚拟机逃逸漏洞检测
- S3 存储桶配置错误检测
这种多厂商合作模式的本质是:AI 安全能力正在成为一种基础设施,而非单一公司的竞争优势。
理解各大安全厂商如何集成 Glasswing 能力,以及这种合作模式对未来安全行业格局的影响。
Glasswing 的合作伙伴均为早期受限访问方。随着项目扩展,更多厂商可能加入。但核心模型 Claude Mythos Preview 的访问权限将长期保持严格管控。
五、技术架构与核心能力对比
要全面评估 Claude Mythos Preview 在 Project Glasswing 中的价值,需要将其与现有的漏洞检测方案进行系统性对比。
传统工具的局限性
模糊测试(Fuzzing): 通过向程序输入随机数据来触发崩溃和异常。优点是可以发现未知的崩溃点,缺点是:
- 覆盖率有限——对于需要特定输入格式的程序,随机输入很难到达深层代码
- 无法发现逻辑漏洞——程序没有崩溃不代表逻辑正确
- 资源消耗大——需要长时间运行才能覆盖足够的输入空间
静态分析工具(SAST): 基于预定义的规则和模式匹配。优点是速度快、可重复,缺点是:
- 只能发现已知模式的漏洞
- 误报率高——规则匹配到「看起来像」漏洞的代码,但不一定是真正的漏洞
- 无法理解代码的业务逻辑上下文
动态分析(DAST): 在运行时检测安全问题。优点是真实运行环境,缺点是:
- 只能覆盖已触发的代码路径
- 无法分析未执行到的代码
- 对分布式系统的分析能力极弱
AI 安全方案的优势
Claude Mythos Preview 在以下几个方面实现了突破:
深度语义理解: 不是匹配模式,而是理解代码的意图。比如,一个看似正确的加密实现可能因为密钥管理流程的设计缺陷而变得不安全——这种问题只有理解「为什么这样设计」才能发现。
跨模块推理: 能够理解多个模块之间的交互关系,发现跨边界的安全问题。传统工具通常逐个文件分析,而 Mythos Preview 可以理解整个系统的架构。
创造性思维: 能够「想象」出人类安全研究员可能没有想到的攻击路径。这种对抗性创造力是 AI 安全方案最核心的差异化优势。
AI 漏洞检测代码示例
以下代码展示了一个典型的 AI 安全工具如何通过语义分析发现传统工具遗漏的逻辑漏洞。传统 SAST 工具只能做模式匹配,无法发现以下 TOCTOU(时间窗口竞争条件)漏洞,而 AI 安全工具能理解业务逻辑上下文,识别权限绕过风险。
首先,看一个看似正确但存在 TOCTOU 漏洞的认证模块代码:
能力对比矩阵
| 能力维度 | 模糊测试 | 传统 SAST | AI 方案(Mythos) |
|---|---|---|---|
| 未知漏洞发现 | ✅ 优秀 | ❌ 无法发现 | ✅ 优秀 |
| 逻辑漏洞 | ❌ 几乎不能 | ⚠️ 有限 | ✅ 强大 |
| 跨模块分析 | ❌ 不支持 | ⚠️ 有限 | ✅ 深度支持 |
| 利用链构造 | ❌ 不支持 | ❌ 不支持 | ✅ 自主构造 |
| 补丁生成 | ❌ 不支持 | ⚠️ 简单建议 | ✅ 完整代码 |
| 运行速度 | ⚠️ 中等 | ✅ 快速 | ⚠️ 较慢(深度推理) |
| 可解释性 | ✅ 明确 | ✅ 规则可查 | ⚠️ 推理链需审查 |
| 误报率 | ✅ 低(崩溃即确认) | ❌ 高 | ✅ 人工复审后低 |
# TOCTOU 漏洞示例:看似正确的认证模块
# 传统 SAST 工具不会标记任何问题
# AI 安全工具能发现时间窗口竞争条件
import os
import tempfile
def secure_write_file(user_id, content):
"""检查权限后写入用户配置文件"""
config_path = f"/etc/app/configs/{user_id}.yaml"
# 安全检查:确保是文件所有者
if os.stat(config_path).st_uid != os.getuid():
raise PermissionError("非文件所有者")
# 漏洞:stat 和 open 之间存在时间窗口
# 攻击者可以在这里用符号链接替换文件
with open(config_path, 'w') as f:
f.write(content)# AI 安全工具生成的修复补丁
# 使用原子操作消除时间窗口
def secure_write_file_fixed(user_id, content):
config_path = f"/etc/app/configs/{user_id}.yaml"
# 使用原子操作消除 TOCTOU
fd = os.open(config_path, os.O_WRONLY | os.O_NOFOLLOW)
try:
# 验证权限(使用 fd 而非路径)
stat = os.fstat(fd)
if stat.st_uid != os.getuid():
raise PermissionError("非文件所有者")
os.write(fd, content.encode())
finally:
os.close(fd)通过对比传统工具、商业 SAST 工具和 AI 安全方案,理解为什么 AI 代表了漏洞检测的下一代范式。
AI 安全工具并非万能。它们在某些方面(如逻辑漏洞、复杂利用链)远超传统工具,但在确定性保证和可解释性方面仍有不足。
六、对网络安全行业的深远影响
Project Glasswing 的意义远不止于「又多了一个安全工具」。它代表了网络安全行业的一次范式转变,其影响将在未来数年逐步显现。
攻防天平的历史性转变
网络安全的核心矛盾是:攻击者只需要找到一个漏洞,而防御者必须修补所有漏洞。这种不对称性让防御者始终处于劣势。
Glasswing 的出现正在改变这种不对称性:
速度维度: 过去,发现一个零日漏洞可能需要数周甚至数月的人工分析。Mythos Preview 可以在数小时内完成同等深度的分析。这意味着漏洞发现和修复的周期从月缩短到天。
覆盖维度: 人类安全研究员的精力是有限的,全球顶尖的安全研究员数量以千计。AI 可以同时分析成千上万的代码库,覆盖范围呈指数级扩展。
深度维度: 即使是最好的安全研究员也有知识盲区——一个精通 Web 安全的专家可能对内核安全不够了解。AI 没有这种局限,它在所有领域都达到顶级水平。
「AI vs AI」安全博弈
但硬币的另一面是:如果防御者能用 AI 发现漏洞,攻击者同样可以。
NCSC 的警告正是基于这一点:Mythos Preview 的能力如果被恶意利用,攻击者可以找到并利用漏洞的速度将远超当前水平。这就是 Anthropic 严格管控模型访问的核心原因——他们希望这种能力首先服务于防御者,为安全团队赢得时间窗口。
但这个时间窗口是有限的。随着 AI 技术的扩散,攻击者最终会获得类似能力。因此,Glasswing 的真正价值在于:
- 在过渡期内尽可能多地修复已知漏洞
- 建立 AI 安全工具的评估和管控标准
- 推动行业从「被动响应」转向「主动防御」
对安全从业者的影响
Glasswing 不会取代安全研究员,但会重新定义他们的角色:
- 从「手动找漏洞」到「管理 AI 找漏洞」——安全研究员的核心能力从技术执行转向判断和决策
- 从「单点修复」到「系统性加固」——AI 发现漏洞后,人类需要思考如何从架构层面消除整类漏洞
- 从「事后响应」到「事前预防」——借助 AI 的预测能力,安全团队可以在漏洞被利用前主动加固
行业竞争格局
对于安全厂商来说,Glasswing 既是机遇也是威胁:
机遇: 集成 AI 安全能力可以大幅提升产品价值——更快的漏洞检测、更低的误报率、自动化的修复建议。
威胁: 如果 Anthropic 将 AI 安全能力作为独立产品线推出,传统安全厂商可能面临能力被替代的风险。这就是为什么 Microsoft、Google、CrowdStrike 都选择以合作伙伴身份加入——他们需要确保在这个新生态中拥有一席之地。
从行业趋势、人才需求、安全策略三个维度理解 Glasswing 带来的变革。
AI 安全工具的普及正在改变攻防天平。防御者获得 AI 能力的同时,攻击者也在获得相同的能力。这意味着「AI vs AI」的安全博弈将成为新常态。
七、安全管控与伦理考量
Project Glasswing 最引人注目的设计决策不是技术层面的,而是管控层面的——Anthropic 选择严格限制 Claude Mythos Preview 的访问权限。
为什么严格管控?
Anthropic 的理由很直接:漏洞发现和利用的能力是一把双刃剑。
如果一个模型能够自主发现零日漏洞、构造利用链、并生成 exploit 代码,那么这种能力落入攻击者手中的后果是灾难性的。与传统的漏洞研究工具不同,Mythos Preview 的能力门槛极低——使用者不需要深厚的安全背景,只需要向模型描述目标软件即可。
管控措施
Anthropic 对 Mythos Preview 实施了多层管控:
访问审批: 只有经过严格审查的安全研究团队才能获得访问权限。申请方需要证明其合法的安全研究目的,并接受 Anthropic 的使用监督。
使用监控: 所有对 Mythos Preview 的访问都被记录和审计。异常的查询模式会触发自动告警。
输出过滤: 模型不会直接输出可用于攻击的完整 exploit 代码。它提供的信息足以帮助安全团队理解和修复漏洞,但不足以直接被攻击者利用。
责任协议: 所有访问方都需要签署严格的使用协议,违反协议将导致访问权限被永久终止。
伦理争议
这种管控策略也引发了伦理讨论:
公平性: 只有大型安全厂商和政府机构能获得 AI 安全能力,中小企业和独立安全研究员被排除在外。这可能导致安全能力的不平等分配。
透明度: 封闭的 AI 安全工具使得社区无法独立验证其能力和局限性。这与开源安全社区「透明审查」的传统理念存在冲突。
权力集中: 如果 AI 安全能力集中在少数公司手中,它们实际上掌握了全球软件安全状况的「上帝视角」——知道哪些关键软件存在哪些漏洞。
Anthropic 需要在这些矛盾中找到平衡点,这是 Project Glasswing 长期成功的必要条件。
理解 Anthropic 如何平衡「安全收益」和「能力泄露风险」,这是 AI 安全项目设计的核心挑战。
严格管控的负面效应是:大多数安全团队无法受益。这意味着中小企业和开源项目在短期内可能面临更大的安全差距。
八、未来展望与发展趋势
Project Glasswing 的出现只是一个开始。AI 在网络安全领域的应用正在进入加速期,以下几个趋势值得重点关注。
趋势一:AI 安全工具的大众化
当前,只有少数大型安全机构能获得最前沿的 AI 安全能力。但随着技术的成熟和成本的降低,AI 安全工具将逐步向更广泛的用户群体开放。
短期(1-2 年): 大型安全厂商将推出基于 AI 的商业产品,面向企业客户。价格可能较高,但能力将远超传统工具。
中期(3-5 年): 开源社区将开发替代方案。虽然性能可能不及前沿模型,但足以覆盖大部分常见漏洞类型。
长期(5 年以上): AI 安全扫描可能成为软件开发生命周期的标准环节——就像编译器的静态检查一样,成为 CI/CD 流水线的默认配置。
趋势二:「AI vs AI」攻防竞赛
随着攻击者也获得 AI 增强的漏洞发现能力,攻防双方都在加速。这意味着:
- 漏洞生命周期缩短: 从发现到被利用的时间窗口从数年缩短到数周甚至数天
- 补丁响应时间成为关键: 安全团队需要在攻击者之前完成修复和部署
- 自动化修复成为必需品: 手动修补的速度已经跟不上漏洞发现的速度
趋势三:AI 安全标准化
行业将需要新的标准来评估和认证 AI 安全工具:
- 能力评估标准: 如何量化 AI 安全工具的发现能力?误报率、漏报率、覆盖率等指标需要统一
- 伦理框架: AI 安全工具的使用需要什么样的伦理约束?谁来监督?
- 信息披露规则: AI 发现的漏洞应该如何披露?披露时间表如何制定?
趋势四:开源安全的 AI 赋能
开源软件是全球数字基础设施的基石,但安全审计资源严重不足。AI 安全工具可以低成本、大规模地覆盖开源项目,这对整个互联网安全有重大意义。
Glasswing 已经覆盖了 Apache、OpenSSL 等关键项目。未来,更多开源项目将从 AI 安全审计中受益,这可能导致开源软件整体安全水平的显著提升。
总结
Project Glasswing 是 AI 安全领域的一个里程碑。它证明了前沿 AI 模型在漏洞检测和修复方面的超越人类的能力,同时也展示了负责任地使用这种能力的管控框架。
对安全从业者来说,这是一个明确的信号:AI 安全不是未来,而是现在。尽早了解和学习 AI 安全工具的使用,将是在这个快速变化的行业中保持竞争力的关键。
对软件开发者来说,这也是一个提醒:你的代码可能正在被 AI 审查——无论是善意的还是恶意的。编写安全的代码不再是「最佳实践」,而是生存必需。
了解 AI 安全领域的未来趋势,包括开源替代方案、标准化评估体系和 AI 安全工具的大众化路径。
AI 安全工具的预测基于当前技术趋势和行业动态。实际发展可能受到监管政策、技术突破和市场因素的显著影响。