首页 资讯 下载 教程 Skills 社群

Anthropic 启动 Project Glasswing:Claude Mythos 数周内发现数千个零日漏洞

· 6 分钟 行业动态

发布详情

2026 年 5 月初,Anthropic 宣布启动 Project Glasswing——一个受控的安全初始化项目,让选定组织访问 Claude Mythos Preview 模型,专门用于:

  • 发现关键软件漏洞
  • 修复零日漏洞(zero-day)
  • 强化软件供应链安全

内部测试结果震惊业界:数周内识别出数千个零日漏洞

Claude Mythos 是什么

专为安全研究设计

Claude Mythos 是 Anthropic 训练的专门用于安全研究的 Claude 变体:

  • 基于 Claude Opus 4.7 架构
  • 在大量代码和漏洞数据集上微调
  • 优化用于代码审计任务

关键能力

  • 代码漏洞模式识别
  • 复杂攻击链推理
  • 修复方案生成
  • PoC(概念验证)构建

与通用 Claude 区别

普通 Claude 出于安全考虑,对漏洞研究有所限制。Claude Mythos:

  • 针对白帽研究优化
  • 减少不必要的拒绝
  • 但保留伦理边界

Project Glasswing 受控访问

不是公开发布

只有选定的组织可以使用:

  • 主要开源项目维护者
  • 大型科技公司安全团队
  • 政府关键基础设施
  • 学术安全研究机构

申请门槛

  • 组织背景审核
  • 使用案例评审
  • 签署安全协议
  • 结果披露承诺

防止滥用

  • 严格的访问控制
  • 行为监控
  • 强制的负责任披露
  • 违规即吊销

内部测试成果

数千个零日漏洞

在内部测试中,Claude Mythos:

  • 数周内识别数千个未公开漏洞
  • 覆盖:操作系统、Web 框架、运行时、库
  • 严重程度:高危和关键比例较大

已披露案例

Anthropic 表示已通过负责任披露

  • 通知相关项目维护者
  • 给予合理修复时间
  • 协调公开披露

具体漏洞详情陆续公开。

行业意义

改变安全研究

传统漏洞挖掘:

  • 人类专家手动审查
  • 几个月才能挖出关键漏洞
  • 成本高昂

Claude Mythos:

  • AI 大规模并行
  • 数周完成数月工作
  • 成本大幅降低

改变攻防平衡

防御方:

  • 可以更快发现漏洞
  • 修复 Window 缩短
  • 整体安全性提升

攻击方:

  • 也可能利用类似 AI
  • 但在 Glasswing 控制下,防御方先行
  • 平衡向防御方倾斜

软件供应链

整个软件生态受益:

  • 主流开源项目被深度审计
  • 关键基础设施加固
  • 端到端安全提升

对开源社区

主要开源项目

Anthropic 已与多个项目合作:

  • Linux 内核
  • Web 框架(React、Vue 等)
  • 编程语言运行时(Node.js、Python 等)
  • 安全敏感库(OpenSSL 等)

这些项目正在或已经经过 Claude Mythos 审计。

中小项目

挑战:

  • Glasswing 暂时不开放给小项目
  • 小项目仍依赖人工审计
  • 长期看需要"普惠"机制

可能的演进:

  • Glasswing Lite:受限版本开放
  • 社区协作:分配审计资源
  • 商业化:付费扫描服务

风险和担忧

双刃剑

  • 防御方能用,攻击方理论上也能复制
  • 即使 Glasswing 受控,类似技术会扩散
  • 整体网络空间风险变化

责任披露

  • Anthropic 是否会主动披露所有漏洞?
  • 如何处理国家安全相关的发现?
  • 学术研究 vs 商业利益的平衡?

技术依赖

  • 过度依赖 AI 审计会否让人类技能退化?
  • AI 误报的处理?
  • AI 审计漏掉的漏洞?

对 OpenClaw 用户

短期

  • 不能直接用 Claude Mythos
  • 但可以使用通用 Claude 做有限的安全审计
  • 配合开源安全工具(如 1Sec Security Skill)

中期

可能的产品:

  • Claude Mythos 限制版本可能开放
  • 通过 Anthropic API 提供安全审计服务
  • 集成到 OpenClaw 作为高级 Skill

长期

  • AI 安全审计将成为标配
  • OpenClaw 生态可能包含安全审计 Agent
  • 构建"OpenClaw 安全防护"模板

配合现有工具

与 1Sec Security 配合

agents:
  security-auditor:
    skills:
      - 1sec-security        # 现有:综合安全平台
      - vulnerability-scanner
      - sentry-monitor       # 错误监控
      - code-analysis-skills

虽然不是 Mythos,但可以构建有效的安全工作流。

配合 GitHub Skills

# 自动 PR 安全审查
hooks:
  webhooks:
    endpoints:
      - path: /pr-security
        flow: security-review

申请参与

如果你的组织符合条件:

  • 访问 Anthropic Project Glasswing 申请页面
  • 提供详细的使用案例
  • 等待审核(通常 4-6 周)

普通用户:

  • 关注 Anthropic 后续发布
  • 参与负责任披露的安全社区
  • 学习 AI 安全研究方法

更广泛的 AI 安全

其他相关产品

  • Microsoft Security Copilot:企业安全 AI
  • Google Project Zero AI:(推测)
  • OpenAI 内部安全工具:(不公开)

各大 AI 公司都在 AI 安全领域布局。

中国相关

  • 国内安全公司也在用 AI 审计
  • 但由于模型能力差距,效果待提升
  • 需要国产顶级模型支持

对开发者的建议

即使没有 Glasswing

  • 保持代码安全意识
  • 使用静态分析工具
  • 关注 CVE 发布
  • 及时升级依赖

接下来几个月

  • 预期更多漏洞披露
  • 及时升级关键库和系统
  • 定期审计自己的代码

长期

  • 学习 AI 辅助安全研究
  • 构建自动化安全管道
  • 投资于安全教育

总结

Project Glasswing 是 AI 安全研究的重大进展

  • Claude Mythos:专业安全 AI 模型
  • 数千漏洞:数周内发现
  • 改变格局:AI 大规模辅助安全

对 OpenClaw 用户:

  • 关注后续发展
  • 利用现有工具强化安全
  • 关注披露及时更新

AI 不仅在帮助开发,也在帮助保护软件世界——这是 AI 应用的另一重要方向。

← 返回资讯列表