Project Glasswing：初步更新

上个月，我们启动了 Project Glasswing 项目，这是一项合作努力，旨在日益强大的 AI 模型可能被用于攻击之前，保护世界上最重要的软件。

自那以后，我们和大约 50 个合作伙伴使用 Claude Mythos Preview 在世界上最具系统重要性的软件中发现了超过一万个高严重性或严重性漏洞。软件安全的进展过去受限于我们能多快发现新漏洞。现在，它受限于我们能多快验证、披露和修补 AI 发现的大量漏洞。

在这篇文章中，我们讨论了在 Project Glasswing 最初几周内，关于网络安全这一关键挑战所学到的东西。我们重点关注 Mythos Preview 性能的早期公开证据、我们扫描数千个开源软件项目的初步结果，以及这一进展对当今网络防御者的意义。我们还将介绍 Project Glasswing 的下一步计划，以及我们未来如何考虑发布 Mythos 类模型。

我们的早期结果

我们讨论 Mythos Preview 发现的方法

软件行业长期以来的惯例是在发现新漏洞 90 天后（或者，如果在 90 天内创建了补丁，则在补丁可用后大约 45 天）披露它们。这为最终用户在漏洞被攻击者利用之前留出了更新软件的时间。我们自己的 协调漏洞披露政策 采用了这种方法。

然而，这意味着已披露的漏洞是 AI 模型网络能力加速前沿的一个滞后指标：我们目前还无法在不将最终用户置于风险之中的情况下，详细说明我们合作伙伴使用 Mythos Preview 的所有发现。相反，我们提供模型性能的说明性示例，以及我们迄今为止进展的汇总统计数据。一旦 Mythos Preview 发现的漏洞补丁被广泛部署，我们将提供更多关于我们所学到的细节。

来自合作伙伴和外部测试者的证据

Project Glasswing 的初始合作伙伴构建并维护着对互联网和其他关键基础设施运行至关重要的软件。修复其代码中的缺陷可以降低依赖它的许多其他组织的风险，从而降低数十亿最终用户的风险。

一个月后，大多数合作伙伴都在其软件中发现了数百个严重或高严重性漏洞。他们总共发现了超过一万个。几位合作伙伴告诉我们，他们的漏洞发现率提高了十倍以上。例如，Cloudflare 在其关键路径系统中发现了 2,000 个漏洞（其中 400 个是高或严重性），其误报率被 Cloudflare 团队认为优于人类测试者。

这与外部测试者对 Mythos Preview 性能的体验以及最近对该模型的额外评估相符：

• 英国 AI 安全研究所 报告 称，Mythos Preview 是第一个端到端解决其两个网络靶场（多步骤网络攻击模拟）的模型；
• Mozilla 在测试 Mythos Preview 时，发现并修复了 Firefox 150 中的 271 个漏洞——比他们使用 Claude Opus 4.6 在 Firefox 148 中发现的漏洞多十倍以上；
• XBOW，一个独立安全平台，报告 称，Mythos Preview 在其 Web 漏洞利用基准测试中是“所有现有模型的显著提升”，并且在逐 token 基础上提供了“绝对前所未有的精度”；
• ExploitBench 和 ExploitGym，两个最近发布的用于衡量模型漏洞利用开发能力的学术基准，显示 Mythos Preview 是最强的执行者。我们在 Frontier Red Team 博客 上更详细地讨论了这些基准告诉我们关于模型的信息。

更广泛地说，我们现在看到修补后的软件正在更快地推出。最新的 Palo Alto Networks 版本包含的补丁数量是 通常的五倍。Microsoft 报告称，他们将发布的新补丁数量将“在一段时间内继续呈增长趋势”。Oracle 发现和修复其产品和云中漏洞的速度比之前 快了数倍。

Mythos Preview 还被证明对其他类型的安全工作有用。例如，在我们的一家 Glasswing 合作银行，Mythos Preview 帮助检测并阻止了一笔 150 万美元的欺诈性电汇，此前一名威胁行为者入侵了客户的电子邮件账户并进行了伪造电话。

开源软件

在过去的几个月里，Anthropic 使用 Mythos Preview 扫描了超过 1,000 个开源项目，这些项目共同支撑着互联网的大部分——以及我们自己的大部分基础设施。

到目前为止，Mythos Preview 在这些项目中发现了它估计的 6,202 个高或严重性漏洞（在总共 23,019 个漏洞中，包括它估计为中或低严重性的漏洞）。

其中 1,752 个被评定为高或严重性的漏洞现已由六家独立安全研究公司之一（或在少数情况下由我们自己）仔细评估。其中，90.6%（1,587 个）被证明是有效的真阳性，62.4%（1,094 个）被确认为高或严重性。这意味着，即使 Mythos Preview 不再发现更多漏洞，按照我们当前分类后的真阳性率，它有望在开源代码中浮现近 3,900 个高或严重性漏洞——这还不包括它为 Project Glasswing 合作伙伴发现的漏洞。需要明确的是，我们打算继续扫描开源代码一段时间，因此我们预计这个数字还会上升。

Mythos Preview 检测到的一个开源漏洞示例位于 wolfSSL 中，这是一个以其安全性著称的开源加密库，被全球数十亿设备使用。Mythos Preview 构建了一个漏洞利用程序，允许攻击者伪造证书，从而（例如）让他们托管一个银行或电子邮件提供商的虚假网站。该网站对最终用户来说看起来完全合法，尽管它由攻击者控制。我们将在未来几周内发布对这个现已修补的漏洞（分配编号 CVE-2026-5194）的完整技术分析。

正如我们上面提到的，修复 此类漏洞的瓶颈在于人类分类、报告、设计以及部署补丁的能力。使用 Mythos Preview 首先发现它们已经变得非常简单。我们创建了一个 我们扫描过的开源漏洞仪表板，如下所示，它显示了披露过程中的不同步骤，并将随时间跟踪我们的进展。这显示了所有严重级别的漏洞，而不仅仅是 Mythos Preview 最初评估为高或严重性的子集。请注意每个阶段的急剧下降，这反映了验证和修复每个漏洞所需的人力工作量。

我们的开源漏洞仪表板，显示了所有严重级别的漏洞（而不仅仅是 Mythos Preview 估计为高或严重性的漏洞）。

我们对漏洞进行分类的过程非常密集。首先，我们或与我们合作的外部安全公司之一重现 Mythos 发现的问题并重新评估其严重性。一旦我们确认漏洞是真实的，我们会检查是否已有修复措施，并向软件维护者撰写详细报告。我们在此非常谨慎：除了维护开源软件的常规挑战外，维护者还面临着大量低质量的 AI 生成的错误报告。事实上，几位维护者告诉我们，他们目前严重能力受限，有些人甚至要求我们放慢披露速度，因为他们需要更多时间来设计补丁。（平均而言，Mythos Preview 发现的高或严重性漏洞需要两周时间才能修补。）

应维护者的要求，我们有时会直接披露漏洞，而无需进一步评估。我们现在已经报告了 1,129 个此类未经审查的漏洞，其中 Mythos Preview 估计有 175 个是高或严重性。

我们估计，到目前为止，我们已经向维护者披露了 530 个高或严重性漏洞。这是基于 Claude 在直接披露情况下对严重性的评估，以及维护者或我们安全合作伙伴的评估（如果可用）。还有 827 个已确认的漏洞（以相同方式估计为高或严重性），我们正力求尽快披露。

在我们报告的 530 个高或严重性漏洞中，有 75 个现已修补，其中 65 个已发布公开公告。补丁数量仍然相对较低，原因有三。首先，我们仍处于协调漏洞披露政策规定的 90 天窗口期的早期：我们预计很快会有更多补丁落地。其次，我们可能低估了补丁数量，因为有些漏洞在没有公开公告的情况下被修补：在这些情况下，我们依赖使用 Claude 自行扫描补丁。第三，补丁数量少反映了一个真实问题：即使以我们相对较慢的披露速度，Mythos Preview 也在给已经不堪重负的安全生态系统增加负担。

发现漏洞的相对容易与修复漏洞的困难相比，构成了网络安全的一个重大挑战。成功应对这一挑战将使我们的软件比以前安全得多。下面我们讨论网络防御者可以适应的一些方法。

适应网络安全的新阶段

具有与 Mythos Preview 类似网络安全技能的模型将很快被更广泛地使用。整个软件行业显然需要更大的努力来管理这些模型将产生的大量发现。

目前，从发现漏洞、创建补丁到最终用户广泛部署补丁之间通常存在很长的延迟。这为攻击者利用关键软件留下了很大的窗口。Mythos 类模型显著缩短了发现和利用漏洞所需的时间和成本，放大了这些时间延迟带来的风险。最终，Mythos 类模型将使开发人员能够在漏洞部署之前捕获它们，从而构建更安全的软件。但在这个过渡时期——漏洞被快速发现但缓慢修补——带来了新的风险。

软件开发者和用户现在就应该采取行动，以减少他们对这些风险的暴露。下面的建议并不新鲜，许多研究人员（包括 Anthropic 的）目前正在研究更好、更持久的解决方案。与此同时，做好基础工作很重要：

• 软件开发者 应缩短补丁周期，并尽快提供安全修复。审慎使用公开可用的 AI 模型可以在这方面提供帮助；我们正在构建工具并分享我们的研究来支持这一点（更多细节见下文）。开发者还应通过使安装更新尽可能简单来帮助用户保持软件最新；在可行的范围内，他们应该对那些仍在运行存在已知漏洞软件的用户更加坚持。
• 网络防御者 应缩短其补丁测试和部署时间表。由 美国国家标准与技术研究院 和英国 国家网络安全中心 等组织制定的关键控制措施现在更加重要，因为它们在不依赖任何单个补丁及时落地的情况下提高了安全性。这些措施包括强化网络的默认配置、强制执行多因素身份验证，以及保留全面的日志用于检测和响应。

使用公开可用 AI 模型进行网络防御的工具

许多通用模型已经能够发现大量软件漏洞，即使它们无法发现最复杂的漏洞或像 Claude Mythos Preview 那样有效地利用它们。Project Glasswing 已经促使许多其他组织使用这些通用模型对其自己的代码库采取行动；我们正在努力使这变得更容易。

首先，我们已向 Claude Enterprise 客户公开发布了 Claude Security 的公开测试版。这是一个帮助团队扫描其代码库以查找漏洞，并可以生成建议修复方案的工具。自发布以来的三周内，Claude Opus 4.7 已被用于修补超过 2,100 个漏洞。（这比上面描述的开源修补速度更快，很大程度上是因为企业正在修复自己的代码，而开源修复通常需要志愿者维护者通过协调披露来工作。）

我们还启动了 网络验证计划，该计划允许使用我们模型进行合法网络安全目的（例如漏洞研究、渗透测试和红队演练）的安全专业人员，在不受某些旨在防止网络滥用的安全措施限制的情况下进行操作。

现在，我们正在将我们和合作伙伴与 Mythos Preview 一起使用的工具，根据请求提供给符合条件的客户的安全团队。我们的目标是让用户无需大量设置即可更轻松地从高能力的公共模型中获得最佳性能。此版本包括：

• 我们和合作伙伴构建并共享的 技能（用于重复工作的自定义指令）；
• 一个帮助 Claude 映射代码库、启动扫描子代理、分类其发现并编写报告的框架；
• 一个威胁模型构建器，用于映射代码库以识别潜在攻击目标，并相应地确定模型工作的优先级。

我们的 Project Glasswing 合作伙伴之一 Cisco，最近也开源了其 Foundry Security Spec，以帮助其他防御者构建类似于他们自己使用的评估系统。

支持生态系统

我们已与开源安全基金会的 Alpha-Omega 项目建立了 合作伙伴关系，这将支持该基金会协助维护者处理和分类错误报告的努力。我们还在继续发布关于前沿模型能力如何最好地支持网络防御者的研究。

我们还支持了 ExploitBench 和 ExploitGym 的开发，这两个新基准允许研究人员随时间跟踪前沿 AI 模型的漏洞利用开发能力，正如我们 在此处 讨论的那样。我们通过 外部研究人员访问计划 支持其他高质量定量基准的开发。最后，Claude for Open Source 支持维护者和贡献者，我们承诺未来将扫描我们自身采用的任何开源包。

Project Glasswing 的下一步计划

AI 进步的速度意味着，与 Mythos Preview 能力相当的模型很快将由许多不同的 AI 公司开发。目前，没有一家公司——包括 Anthropic——开发出了足够强大的安全措施来防止此类模型被滥用并可能造成严重伤害。这就是我们尚未向公众发布 Mythos 类模型的原因。但这也是我们启动 Project Glasswing 的原因：如果一个能力相当的模型在 没有 此类安全措施的情况下发布，那么世界上几乎任何人都将很快能够以极低的成本和难度利用有缺陷的软件。

Glasswing 帮助最具系统重要性的网络防御者获得不对称优势。然而，迫切需要尽可能多的组织加强其网络防御。我们希望我们普遍可用的模型，以及我们为配合这些模型而提供的新工具、资源和研究，将支持这些组织改善其网络安全态势。

接下来，我们将与关键合作伙伴——包括美国及盟国政府——合作，将 Project Glasswing 扩展到更多合作伙伴。在不久的将来，一旦我们开发出所需的更强大的安全措施，我们期待通过通用发布使 Mythos 类模型可用。

在这些风险的另一面，有一个令人鼓舞的世界在等待着我们：一个关键代码比今天得到更好加固的世界，一个黑客攻击远不那么普遍的世界。障碍很多，但我们仍然相信 Project Glasswing 可以帮助我们实现这一目标。

相关内容

2028：全球 AI 领导力的两种情景

我们对中美 AI 竞争的看法。

教 Claude 理解原因

关于我们如何减少代理失调的新研究。

阅读更多

自然语言自动编码器：将 Claude 的想法转化为文本

像 Claude 这样的 AI 模型用语言交流，但用数字思考。在这项研究中，我们训练 Claude 将其想法翻译成人类可读的文本。

阅读更多