Anthropic 工程博客,Project Glasswing 首月 Claude Mythos Preview 漏洞挖掘成果显著:在约 50 家合作伙伴配合下发现超万枚高危或严重等级漏洞,Cloudflare 单家即确认 2,000 枚漏洞,开源项目评估准确率达 90.6%。

Claude Mythos Preview 漏洞挖掘项目 Glasswing 首月数据面板

合作伙伴成果:Cloudflare 与 Mozilla 确认效率提升逾十倍

Project Glasswing 的初始合作伙伴涵盖互联网基础软件维护方。据 Anthropic 公布,多数合作伙伴已在各自软件中发现数百枚高危或严重漏洞,累计超万枚。多家合作方反馈,漏洞发现效率提升逾 10 倍。Cloudflare 确认其 Claude Mythos Preview 漏洞挖掘成果包括 2,000 枚漏洞,其中 400 枚为高危或严重等级,误报率低于人工测试水平。

Mozilla 在 Firefox 150 测试中发现 271 枚漏洞,较此前用 Claude Opus 4.6 测试 Firefox 148 时提升逾 10 倍。在金融场景中,Mythos Preview 还协助一家 Glasswing 合作银行检测并阻止了一笔 150 万美元的欺诈电汇 — — 攻击者此前已攻破客户邮箱并伪造电话。

开源软件扫描:1,752 枚评估,准确率 90.6%

Anthropic 已用 Mythos Preview 扫描逾 1,000 个开源项目。模型初步估计发现 6,202 枚高危或严重漏洞(全部 23,019 枚中)。经六家独立安全研究公司审阅,已评估的 1,752 枚候选漏洞中,90.6%1,587 枚)为有效真阳性,62.4%1,094 枚)确认为高危或严重等级。按此比率,Mythos Preview 有望在开源代码中累计发现近 3,900 枚高危或严重漏洞。

wolfSSL 密码库的漏洞(CVE-2026-5194)是 Claude Mythos Preview 漏洞挖掘的典型案例。Mythos Preview 构建的利用代码可让攻击者伪造证书,托管冒充银行或邮件提供商的虚假网站。该漏洞现已修复,Anthropic 将在数周内发布完整技术分析。

Project Glasswing 开源漏洞披露流程各阶段数量统计

截至报告发布,Anthropic 已向维护者披露 530 枚高危或严重漏洞,其中 75 枚已完成补丁,65 枚获得公开安全公告。平均每枚高危或严重漏洞需 2 周完成修复。部分开源维护者因容量不足,甚至请求 Anthropic 放慢披露节奏。另有 1,129 枚未经人工审阅的漏洞已直接提交维护者。

第三方评测验证 Claude Mythos Preview 漏洞挖掘能力

外部评测进一步验证了 Mythos Preview 的安全能力。英国 AI 安全研究所(AISI)报告称,Mythos Preview 是首个端到端攻破其全部两个网络靶场的模型。独立安全平台 XBOW 在其 Web 利用基准测试中评价 Mythos Preview 为“相较所有现有模型的重大提升”,并提供“绝对前所未有的精度”。

新近发布的 ExploitBench 和 ExploitGym 两个漏洞利用开发能力基准测试中,Mythos Preview 均表现最强。行业影响已开始显现:Palo Alto Networks 最新版本包含的补丁数量为平时的 5 倍以上,Microsoft 报告新补丁数量将“持续增长”,Oracle 的产品和云服务漏洞发现与修复速度亦提升数倍。

安全工具、生态支持与后续计划

为帮助行业应对新阶段,Anthropic 已推出多项工具。Claude Security 面向 Claude Enterprise 客户开放公测,上线三周内 Claude Opus 4.7 已修复逾 2,100 枚漏洞。Cyber Verification Program 允许安全研究人员在合法范围内使用模型进行漏洞研究、渗透测试和红队演练。Anthropic 提供的一整套工具进一步扩展了 Claude Mythos Preview 漏洞挖掘的适用范围,包括自定义技能指令、代码库映射与扫描编排框架、威胁模型构建器。

生态层面,Anthropic 与开源安全基金会(OpenSSF)的 Alpha-Omega 项目建立合作,支持开源维护者处理漏洞报告,并承诺未来将扫描自身采用的所有开源包。Glasswing 合作伙伴 Cisco 也已开源其 Foundry Security Spec。

Anthropic 表示,Mythos-class 模型将很快被多家公司开发,但当前尚无公司具备足够强的安全防护措施阻止此类模型被滥用。因此 Anthropic 尚未公开释出 Mythos-class 模型,而是通过 Glasswing 优先帮助关键基础设施防御方。下一步将与美国及盟国政府合作扩大项目,在更强安全措施到位后推进公开发布。

Project Glasswing 首月数据表明,AI 安全能力的提升速度已超过行业修复能力的增速,缩短补丁周期与自动化修复将成为网络安全领域的关键议题。

评论 ···