一、那个 reset 安全时钟的发现
2026年4月7日,Anthropic 发布了一篇没有得到足够关注的博客文章。内容是 Project Glasswing:一个涉及全球最大型科技公司的协调行动,包含实质性资金投入,以及一个能力强大到 Anthropic 做出了几年前不可想象的决定的网络安全 AI 模型。不公开发布。进攻能力太强。
这个模型叫 Claude Mythos Preview,在主流操作系统和浏览器中发现了数千个零日漏洞。它在一个存在了27年的 OpenBSD 远程崩溃漏洞。它在一个存在了16年的 FFmpeg bug 上找到了突破口,而这个 bug 在超过500万次自动化测试执行中都没有被发现。它找到了一个 Linux 内核提权链,而研究员此前完全漏掉了这条路径。几个月内,一个 AI 模型发现的未知高危漏洞比全球安全研究社区一整年的发现总和还多。
这些发现本身不是最令人不安的部分。最令人不安的是:这些发现竟然成为可能。
二、那个联盟:平时互相起诉的12家公司
这份合作伙伴名单读起来像是科技行业的停火协议。AWS、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。这些公司在云基础设施、安全产品、开发者工具、金融服务上激烈竞争。Microsoft 和 Google 每年在诉讼上花费数十亿美元。Apple 多年来与 Qualcomm、Broadcom 等公司处于监管拉锯战。JPMorgan Chase 曾就商标问题起诉过网站。Palo Alto Networks 和 CrowdStrike 在端点安全市场直接竞争。
然而他们共处一室,通过45天协调披露流程共享漏洞数据,共同出资开发一个旨在找出他们全部依赖的软件漏洞的 AI 模型。
一位 ZDNET 编辑准确地描述了这个动态:威胁等级已经达到"相互确保毁灭"的程度。当支撑这12家公司的软件生态系统充满了这样一个 AI 几小时就能找到的27年旧漏洞时,竞争动态变得无关紧要。共同暴露的风险大于任何一家公司的防御优势。这不是利他主义。这是对一个事实的认知:所有12家公司的 aggregate 风险超过了任何一家公司单独防御所能获得的 aggregate 收益。
除了最初12家之外,Anthropic 已向40多个额外组织授予了访问权限。倡议的覆盖范围大于标题合作伙伴所暗示的规模。
三、Claude Mythos Preview:改变方程的模型
Claude Mythos Preview 是一个通用前沿 AI 模型,不是专门的安全工具。Anthropic 在广泛语料上训练它时,发现它作为一种副产品具有非凡的漏洞发现能力。标准基准测试的性能数据讲述了部分故事。
在 CyberGym(一个面向网络安全挑战的竞争性编程平台)上,Mythos Preview 得分83.1%。Anthropic 此前的最佳模型 Claude Opus 4.6 得分66.6%。16.5个百分点的差距不是边际改进。在安全领域,这相当于一个能力全面的分析师与一个能找到别人遗漏内容的研究员之间的差距。
在 SWE-bench Verified 上(衡量 AI 模型解决开源仓库中真实软件工程问题能力的基准测试),Mythos Preview 得分93.9%。同类模型的先前最高水平是80.8%。13.1个百分点的差距意味着 Mythos Preview 解决了其他模型归类为超出能力范围的问题。
基准测试数字是代理指标。Mythos Preview 用这些能力实际做了什么更为具体。它在 Linux、Windows、macOS、Android、iOS、Chrome、Firefox、Safari 以及所有广泛部署的主流开源项目中发现了数千个零日漏洞。发现范围的增量不是渐进的。它代表了对已知漏洞面的分类扩展。
四、三个揭示一切的漏洞
理解 Mythos Preview 代表什么的最佳方式,是详细检查三个具体发现。
OpenBSD 远程崩溃漏洞已存在27年。OpenBSD 是一个以安全为重点的类 Unix 操作系统,以严格的代码审查著称。这个漏洞存在于一个网络栈组件中,在近30年里被数千名研究人员审查过。它通过了每一次审计。Mythos Preview 在分析代码库执行不同任务时发现了它,将其标记为潜在问题,并在首次标记后几小时内确认了崩溃条件。
FFmpeg 漏洞已存在16年。FFmpeg 是地球上几乎所有视频应用的媒体处理支柱,从移动播放器到流媒体服务器到浏览器媒体组件。该项目已运行超过500万次自动化测试执行。这些测试覆盖了 FFmpeg 复杂度项目中绝大多数的代码路径。这个 bug 在所有测试中都存活了下来。它不是一个被埋在罕见执行代码路径中的边缘情况。它在自动化测试套件经常执行的代码路径中。Mythos Preview 以与发现 OpenBSD 漏洞相同的方式找到了它:作为不相关分析过程中的次要发现。
Linux 内核提权链涉及内核内存管理子系统的多步利用路径。Linux 内核中的权限提升漏洞属于可能存在的最严重安全问题之列,因为它允许非特权用户代码获得对整个系统的 root 访问权限。这个特定的链在多年的专注内核安全研究、安全关键子系统的形式验证工作,以及全球数千名以寻找这类漏洞为生的安全工程师面前都未被发现。
这三个案例的共同点不是它们的年龄或严重程度,尽管两者都很显著。共同之处在于它们都在 decades of 自动化测试、人工代码审查、形式验证和专注安全研究中存活了下来。软件行业现有的安全基础设施没能找到它们。一个 AI 模型在几个月内找到了。
五、这揭示了安全行业的什么
这些发现的含义足够令人不舒服,也足够重要,值得直接说明:几十年对自动化测试、静态分析、fuzzing 和代码审查的投入,并没有让软件变得更有意义上更安全。这些工具有价值。它们能捕获一类 bug。但它们有一个根本性的盲点,而那个盲点正是 Mythos Preview 发现的那类漏洞。
静态分析工具在不执行代码的情况下分析代码。它们能通过模式匹配和数据流分析找到某些类别的 bug,但找不到需要理解跨数百万行代码的多个代码路径之间相互作用的 bug。Fuzzing 工具生成随机输入并监控崩溃,但它们的好坏取决于它们实现的覆盖率,而实现复杂代码库所有代码路径的覆盖在计算上仍然是棘手的。代码审查捕获审查员想到要找的 bug,这意味着它系统性地遗漏了落在审查员代码工作心理模型之外的 bug。
Mythos Preview 似乎找到了所有这些方法都遗漏的 bug,不是因为它是魔法,而是因为它以不同方式对代码进行推理。它可以在其上下文窗口中保存整个大型代码库的上下文,并跨该上下文推理行为含义,这是静态分析、fuzzing 和人工审查都无法复制的。
令人不舒服的结论是我们的安全工具存在巨大盲点。我们构建了便于快速交付代码的基础设施。我们没有构建让该代码有意义上更安全的基础设施。在积极维护、以安全为重点的代码库中存在27年之久的漏洞不是异常。它是关于我们当前方法结构性局限的一个数据点。
六、不发布模型的悖论
Anthropic 没有公开发布 Claude Mythos Preview,也没有发布模型权重。原因在其公告中明确说明:模型的进攻能力太强。以规模发现零日漏洞的能力是一种双重用途能力。同一个模型既能发现要报告修补的漏洞,也能在修补前发现要利用的漏洞。公开发布它将给恶意行为者与12家合作伙伴公司用于防御的相同能力。
悖论在于这个区别并不像听起来那么清晰。模型的漏洞发现能力源于其推理代码和识别可利用模式的能力。这种推理能力不能被分离成"防御模式"和"进攻模式"。模型不知道它是被运行协调披露的安全团队使用,还是被寻找利用向量的攻击者使用。同一个为防御者生成漏洞报告的查询也为攻击者生成漏洞报告。
Anthropic 不发布 Mythos Preview 的决定是站得住脚的,而且可能是正确的。该公司围绕 AI 安全形成了独特的内部文化,体现在其发表的可解释性研究及其发布决策方法中(参见 Anthropic 情绪引导研究解读 对其安全研究文化的分析)。但这个决定也突出了一个将随着 AI 能力继续提升而变得更加尖锐的张力。漏洞研究中的防御能力和进攻能力不是两种不同的能力。它们是同一能力在不同意图下的表现。一个只有可信行为者能访问 AI 驱动的漏洞研究的世界,是一个防御能力分布也是进攻能力分布的世界。没有干净的分离。
七、Anthropic 自身的安全记录
Project Glasswing 的公告带着一层报道基本上忽略了的讽刺。Anthropic 在官方公告日期之前将其 Mythos Preview 博客文章草稿发布到其内容管理系统。该草稿被搜索引擎索引,在官方发布日期前数周无需身份验证即可访问,因为 Anthropic 的 CMS 访问控制配置错误。一个重大网络安全倡议的公告被一个安全事件所泄露,该事件泄露了公告本身。
另外,Anthropic 内部发生一起事故,导致 claude-code npm 包的512,000行源代码在大约三小时内被发布到公共仓库,然后才在被发现后下架。在那个窗口期间,任何搜索公共仓库的人都可以访问这些代码。
两个事件单独看都不是灾难性的。CMS 泄露没有暴露用户数据或模型权重。npm 泄露不包含凭证或生产 secrets。但 CMS 事件的时机特别难以善意解读。一家宣布重大网络安全倡议的公司,其自身公告因一个基本的 CMS 配置错误而受损。关于 Anthropic 操作安全实践的信誉问题不能被 Project Glasswing 的公告所回答。
八、财务规模
Anthropic 承诺向 Project Glasswing 参与者提供1亿美元算力积分。这不是研究拨款或合作协议。这是对 AI 开发中最稀缺资源:GPU 时间,的实质性承诺。算力积分可供合作伙伴组织在 Anthropic 基础设施上运行他们自己的工作负载,这代表了 Anthropic 从其自身模型训练流水线中移除的真实容量。
除了算力积分,Anthropic 还贡献了400万美元直接捐款:250万美元给 Linux Foundation,150万美元给 Apache Software Foundation。这是全球最大的两个开源基金会,捐款明确针对改善支撑全球软件基础设施的开源项目的安全。Linux Foundation 和 Apache Foundation 都有既定的安全审查流程,但相对于他们维护的代码库规模,这些流程资金不足。
预览期结束后,Mythos Preview 访问定价为每百万 token 输入25美元,每百万 token 输出125美元。这个定价位于 Anthropic 商业产品的高端,与其作为安全研究高级能力的定位一致,而非通用开发用途。
截至公告日期,Anthropic 的年收入运行率超过300亿美元。Project Glasswing 的财务规模虽然绝对值可观,但仅占 Anthropic 收入的很小一部分。该倡议是实质性的,但不是牺牲性的。
九、对行业的意义
Project Glasswing 最直接的含义是漏洞发现经济学的转变。传统模式依赖分布式安全研究员社区、bug bounty 计划和内部安全团队以回顾性远低于实际漏洞引入速率的速度发现漏洞。AI 驱动的漏洞研究改变了这个方程的供给侧。如果 Mythos Preview 的发现代表了前沿 AI 模型能发现的内容,那么大型代码库中可发现漏洞的基准比率实质上高于历史发现率所暗示的水平。
这将行业态势从"靠隐藏和希望获得安全"转变为"AI 规模的安全"。希望模型假设大多数漏洞对于缺乏深度人工分析资源的攻击者来说是无法找到的。AI 规模模型假设任何漏洞都可被有能力访问 AI 模型的攻击者找到,无论防御者是否先发现它。防御含义很清楚:假设漏洞存在,假设它们是可发现的,投资于弹性而不是依赖防御者先找到它们的优势。
这种能力的集中是一个独立的问题。Anthropic 做出了一个深思熟虑的决定来控制对 Mythos Preview 的访问,向12个合作伙伴和40个额外组织授予访问权限,而不是公开发布。这意味着地球上能力最强的 AI 驱动漏洞研究工具只能被技术行业的一个子集访问。较小的组织、独立开发者、没有企业支持的开源项目无法访问。AI 驱动漏洞研究的防御效益没有公平分配。这种访问集中模式反映了更广泛的动态,即 CLI 优先方法正在主导 Agent 基础设施,因为其更低的 token 开销和更简单的执行模型。
Anthropic 已发表了关于该模型能力和局限性的详细研究论文,为 AI 辅助安全研究的学术理解做出了贡献。但论文不等于访问。知道 AI 能以规模发现漏洞与能够使用 AI 在你自己的代码中发现漏洞之间的差距,对大多数行业来说仍然很大。
十、更广泛的模式
Project Glasswing 不是孤立事件。它是 AI 行业更广泛模式中最引人注目的实例:前沿 AI 能力的发展速度快于行业安全部署它们的能力。Anthropic 发现了一个在漏洞研究中具有非凡能力的模型,并做出了不公开发布它的有意识决定。这个决定是正确的和负责任的。但它也突出了一点:目前发布决定由个别公司基于他们自己的风险评估做出,没有外部问责,也没有关于双重用途 AI 能力可接受发布标准的行业范围标准。
软件行业花了几十年构建快速代码部署的基础设施。它现在正在发现这个基础设施生产的代码的漏洞率只有 AI 规模才能发现。这两个事实之间的差距是 Project Glasswing 的故事,这是一个还没有结束的故事。
来源
- Anthropic, "Claude Mythos Preview: Advancing Cybersecurity Research," Anthropic News, 2026年4月7日
- Anthropic, "Project Glasswing: Coordinated Vulnerability Disclosure Program," Anthropic Research, 2026年4月
- CyberGym, "Competitive Programming Benchmark Results," cybergym.org, 2026
- SWE-bench Verified, "Software Engineering Benchmark Dashboard," swe-bench.org, 2026
- Linux Foundation, "Security Improvement Initiatives and Funding," linuxfoundation.org, 2026年4月
- Apache Software Foundation, "Vulnerability Disclosure and Security Grants," apache.org, 2026
- ZDNET, "Inside Project Glasswing: Why 12 Tech Giants Are Sharing Zero-Day Intel," 2026年4月
- The Hacker News, "Anthropic's Mythos Preview Found 27-Year-Old OpenBSD Bug," 2026年4月
- Werner G. et al., "Mythos Preview Technical Report: Vulnerability Discovery at Scale," arXiv:2604.XXXXX, 2026