Claude一个月揪出上万高危漏洞,准确率九成!科技巨头集体入场,安全圈要变天

5月22日，Anthropic正式发布了Project Glasswing的首份阶段报告。

Project Glasswing是Anthropic主导的一项联合防御项目，核心目标非常清晰：在更强大的AI模型被恶意利用之前，优先识别并修补全球最关键的软件安全隐患。

启动仅一个月，Claude Mythos Preview与约50家合作伙伴共同扫描了超过1500个开源代码库，输出了23019条潜在风险线索。其中被判定为高危或严重级别的漏洞，突破了10000条大关。

传统安全团队一年能挖出几百个高危漏洞已属不易。AI用一个月时间完成了中型安全公司全年才能完成的工作量。

▲ Anthropic官方发布的Project Glasswing项目页面

发现漏洞只是起点。如果大量都是误报，那数字再华丽也没有实际意义。

Anthropic将其中1900条发现提交给第三方安全公司进行独立验证。结果显示：1726条被确认为真实有效，真阳性率达到90.8%。

十条线索九条属实。

做个对比：传统静态分析工具的误报率通常在30%到70%区间。Claude Mythos Preview直接将这一指标拉到了完全不同的层次。

独立安全平台KNOW评价道：Claude Mythos Preview是目前首款能够同时覆盖漏洞发现与验证全流程的模型。美国AI安全研究所（US AI Safety Institute）也给出了相似的结论。

▲ Wes Roth在X上分享的Project Glasswing完整漏洞处理流程图

参与Project Glasswing的合作方阵容堪称豪华：微软、苹果、谷歌、Cloudflare，以及超过50家技术机构。

几个标志性案例：

CrowdStrike利用Claude Mythos Preview在Firefox 145中发现了271个安全漏洞。

Mozilla的数据更为惊人——Claude Mythos Preview找到的漏洞数量，是此前Claude Opus 4.5人工测试结果的十倍以上。

还有一个高危案例值得注意：Claude Mythos Preview在MySQL中发现了一个CVSS评分高达9.1的严重漏洞，攻击者可以利用它伪造证书、冒充合法服务。

▲ 官方公布的Project Glasswing早期成果与合作伙伴验证数据

看完整的处理链路：

1596份漏洞报告，最终只有97个补丁落地。发现端与修复端的比例差距高达16倍。

Anthropic在官方博客中指出：

「过去，软件安全的发展速度取决于发现新漏洞的效率。现在，取决于验证、披露和修复AI产出的大量漏洞的速度。」

当AI能够批量输出高质量漏洞线索时，安全团队的工作重心被迫发生了转移。之前最稀缺的能力是发现漏洞，现在最稀缺的变成了处理漏洞。

AI发现漏洞的能力已得到充分验证。但后续问题更加棘手：

谁来修复？开源项目的维护者本身就面临人手和资金短缺。大量高质量漏洞报告突然涌入，处理压力将成倍增长。

谁来审核？每条漏洞都需要人工确认影响范围、制定修复方案、协调上下游依赖关系。这部分工作目前还没有被AI替代。

谁来买单？扫描1500个开源项目消耗的算力和token成本由谁承担？当AI安全成为基础设施级别的服务时，定价模型还没有标准答案。

谁来担责？如果AI漏报了某个高危漏洞，或者误报导致维护者浪费大量时间，责任如何划分？

Anthropic提到了他们的协调漏洞披露（Coordinated Vulnerability Disclosure）政策：给予维护者90天修复窗口，先报告再公开。但在漏洞数量暴涨的背景下，这套框架能否继续支撑，是一个悬而未决的问题。

▲ The Hacker News报道：Claude Mythos AI在常用软件中发现10000个高危漏洞

从技术角度审视，Project Glasswing验证了一个方向：AI在代码安全领域已从辅助角色跨越到独立产出阶段。23019条候选发现、90.8%的准确率、涵盖微软苹果谷歌的合作伙伴矩阵——这条路走得通。

但效率提升从来都有代价。

AI降低了发现漏洞的门槛，但后续的验证、披露、修复和治理工作量并没有同步降低。发现端的产出速度是修复端的16倍，整个安全生态需要重新分配资源。

开源维护者需要更多支持，企业安全团队需要新的工作流程，法务和合规部门需要更新对AI生成安全报告的处理规范。

Anthropic表示正在考虑如何向更多组织开放Mythos级别的模型。这意味着这个能力未来可能不只属于50家合作伙伴，而是整个行业都能使用。

当每个人都能用AI挖漏洞的时候，安全行业的游戏规则，将彻底改变。

— END —