Project Glasswing 初步进展:AI发现超万高危漏洞,安全生态面临新挑战
Project Glasswing: 初步更新
上个月,我们启动了 Project Glasswing——这是一项合作努力,旨在保护全球最关键的软件,防止日益强大的 AI 模型被用于攻击它。
自那以后,我们与大约 50 个合作伙伴一起,使用 Claude Mythos Preview 在全球系统重要性最高的软件中发现了超过一万个高危或严重级别的漏洞。过去,软件安全的进展受限于我们能多快发现新漏洞;而现在,它受限于我们能多快验证、披露和修补 AI 发现的大量漏洞。
在这篇博文中,我们将讨论 Project Glasswing 启动头几周里,关于这一网络安全关键挑战所学到的东西。我们将重点介绍 Mythos Preview 性能的早期公开证据、我们对数千个开源软件项目扫描的初步结果,以及这些进展对今天的网络防御者意味着什么。我们还会介绍 Project Glasswing 后续计划,以及我们未来如何考虑发布 Mythos 级模型。
我们的早期结果
讨论 Mythos Preview 发现的漏洞时采用的方法
软件行业长期以来的惯例是在发现漏洞后 90 天内披露(或者,如果在 90 天结束前已有补丁,则在补丁发布后大约 45 天披露)。这样可以让最终用户有时间在攻击者利用漏洞之前更新软件。我们自己的协调漏洞披露政策也采用这种方法。
然而,这意味着已披露的漏洞是 AI 模型网络能力加速发展的滞后指标:我们目前还不能在不危及最终用户安全的情况下,详细说明合作伙伴使用 Mythos Preview 的发现结果。因此,我们仅提供模型性能的示例性说明,以及截至目前的总体进展数据。一旦 Mythos Preview 发现的漏洞补丁被广泛部署,我们将提供更详细的发现总结。
来自合作伙伴和外部测试人员的证据
Project Glasswing 的初始合作伙伴构建并维护着互联网及其他关键基础设施所依赖的基础软件。修复他们代码中的缺陷,可以降低依赖这些软件的其他组织的风险,从而降低数十亿最终用户的风险。
一个月后,大多数合作伙伴各自在其软件中发现了数百个严重或高危漏洞。总计超过一万个。有几位合作伙伴告诉我们,他们的漏洞发现率提高了十倍以上。例如,Cloudflare 在其关键路径系统中发现了 2000 个漏洞(其中 400 个为高危或严重级别),其误报率据 Cloudflare 团队评估,优于人类测试人员。
这与外部测试人员对 Mythos Preview 性能的体验以及近期对该模型的其他评估相符: - 英国 AI 安全研究所报告称,Mythos Preview 是首个端到端解决他们全部两个网络靶场(多步骤网络攻击模拟)的模型; - Mozilla 在测试 Mythos Preview 时发现并修复了 Firefox 150 中的 271 个漏洞,是使用 Claude Opus 4.6 在 Firefox 148 中发现漏洞数量的十倍以上; - 独立安全平台 XBOW 报告称,Mythos Preview 在其 Web 漏洞利用基准测试中“显著超越了所有现有模型”,并在逐 token 基础上提供了“绝对前所未有的精确度”; - 近期发布的两个学术基准 ExploitBench 和 ExploitGym(用于衡量模型的漏洞利用开发能力)显示,Mythos Preview 表现最佳。我们在 Frontier Red Team 博客上更详细地讨论了这些基准测试告诉我们关于该模型的信息。
更广泛地说,我们现在看到,打过补丁的软件正在更快地推出。最新的 Palo Alto Networks 版本包含的补丁数量是平时的五倍以上。微软报告称,他们未来发布的补丁数量“一段时间内将持续增长”。Oracle 在其产品和云中发现并修复漏洞的速度比以前快了好几倍。
Mythos Preview 还被证明对其他类型的安全工作有用。例如,在我们的一家 Glasswing 合作银行中,当一名威胁行为者入侵了客户的电子邮件账户并进行了欺骗性电话呼叫后,Mythos Preview 帮助检测并阻止了一笔 150 万美元的欺诈性电汇。
开源软件
在过去的几个月里,Anthropic 使用了 Mythos Preview 扫描了 1000 多个开源项目,这些项目共同支撑着互联网的大部分基础设施——以及我们自己的大部分基础设施。
到目前为止,Mythos Preview 在这些项目中发现了它估计的 6202 个高危或严重漏洞(总共 23019 个漏洞,包括它估计为中低风险的漏洞)。其中,有 1752 个被评估为高危或严重的漏洞现已由六家独立安全研究公司(或我们自己在少数情况下)进行了仔细评估。在这些漏洞中,90.6%(1587 个)被证明是有效的真实漏洞,62.4%(1094 个)被确认为高危或严重级别。这意味着,即使 Mythos Preview 不再发现更多漏洞,按照目前的后分流真实阳性率,它有望在开源代码中浮现近 3900 个高危或严重漏洞——除此之外,还有它为 Project Glasswing 合作伙伴发现的漏洞。需要明确的是,我们打算继续扫描开源代码一段时间,因此我们预计这个数字还会上升。
Mythos Preview 检测到的一个开源漏洞示例存在于 wolfSSL 中,这是一个以安全性著称的开源密码学库,被全球数十亿设备使用。Mythos Preview 构建了一个漏洞利用程序,允许攻击者伪造证书,例如,从而使他们能够托管银行或电子邮件提供商的虚假网站。对于最终用户来说,该网站看起来完全合法,尽管实际上由攻击者控制。我们将在未来几周内发布对此现已修补的漏洞(CVE-2026-5194)的完整技术分析。
如上所述,修复此类漏洞的瓶颈是人类分流、报告、设计以及部署补丁的能力。而使用 Mythos Preview 来首先发现这些漏洞已经变得非常简单。我们创建了一个我们扫描过的开源漏洞仪表板(见下),它显示了披露过程中的不同步骤,并将跟踪我们随时间推移的进展。这显示了所有严重级别的漏洞,而不仅仅是 Mythos Preview 最初评估为高危或严重的子集。请注意每个阶段的急剧下降,这反映了验证和修复每个漏洞所需的人力工作量。
我们的开源漏洞仪表板,显示了所有严重程度的漏洞(而不仅仅是 Mythos Preview 估计为高危或严重的漏洞)。
我们对漏洞进行分流的过程非常紧张。首先,我们或与我们合作的外部安全公司重现 Mythos 发现的问题,并重新评估其严重性。一旦我们确认漏洞是真实的,我们就会检查是否已有修复措施,并向软件维护者撰写详细报告。我们在此过程中非常谨慎:除了维护开源软件的常规挑战之外,维护者还面临大量低质量的 AI 生成的 bug 报告。事实上,几位维护者告诉我们,他们目前的能力严重受限,有些人甚至要求我们放慢披露速度,因为他们需要更多时间来设计补丁。(平均而言,Mythos Preview 发现的高危或严重漏洞需要两周时间才能修补。)
应维护者的要求,我们有时会直接披露漏洞,而无需进一步评估。我们目前已报告了 1129 个此类未经审查的漏洞,其中 Mythos Preview 估计有 175 个为高危或严重级别。
据我们估计,到目前为止,我们已向维护者披露了 530 个高危或严重漏洞。这是基于 Claude 对直接披露案例的严重性评估,以及维护者或我们的安全合作伙伴在可获取情况下的评估。还有另外 827 个已确认的漏洞(以相同方式估计为高危或严重)我们正尽快披露。
在这 530 个我们已报告的高危或严重漏洞中,有 75 个现已得到修补,其中 65 个已发布公开公告。补丁数量仍然相对较低,原因有三。首先,我们仍处于协调漏洞披露政策规定的 90 天窗口初期:我们预计很快会有更多补丁落地。其次,我们可能低估了补丁的数量,因为有些漏洞在修补时没有公开公告:在这种情况下,我们依赖 Claude 自行扫描来发现这些补丁。第三,补丁数量少反映了一个真正的问题:即使以我们相对较慢的披露速度,Mythos Preview 也在增加已经不堪重负的安全生态系统的负担。
发现漏洞的相对容易与修复漏洞的困难并存,这对网络安全构成了重大挑战。成功应对这一挑战将使我们的软件比以往安全得多。下面我们讨论网络安全防御者可以适应的一些方法。
适应网络安全的新阶段
拥有与 Mythos Preview 类似网络安全技能的模型很快将更广泛地可用。软件行业显然需要更大的努力来管理这些模型将产生的大量发现。
目前,从发现漏洞到创建补丁,再到最终用户广泛部署补丁,通常存在很长时间的滞后。这为攻击者利用关键软件留下了很大的窗口。Mythos 级模型显著缩短了发现和利用漏洞所需的时间和成本,放大了这些时间延迟带来的风险。最终,Mythos 级模型将使开发人员能够通过在漏洞部署之前捕获它们来构建更安全的软件。但在这个过渡时期——漏洞被快速发现但缓慢修补——带来了新的风险。
软件开发人员和用户现在就应该采取行动,以减少对这些风险的暴露。以下建议并非新内容,许多研究人员(包括 Anthropic 的研究人员)目前正在致力于更好、更持久的解决方案。与此同时,做好基础工作很重要:
- 软件开发人员应缩短补丁周期,并尽快提供安全修复。在此过程中,深思熟虑地使用公开可用的 AI 模型可能会有所帮助;我们正在构建工具并分享我们的研究以支持这一点(更多详情见下文)。开发人员还应帮助用户保持软件更新,尽可能简化安装更新;在可行的情况下,应对仍在使用含有已知漏洞软件的旧版本用户进行更持续的跟进。
- 网络防御者应缩短补丁测试和部署的时间。国家标准与技术研究所(NIST)和英国国家网络安全中心(NCSC)等组织制定的关键控制措施现在更加重要,因为它们在不依赖任何单一补丁及时落地的情况下提高了安全性。这些措施包括加固网络的默认配置、强制执行多因素身份验证,以及保留全面的日志用于检测和响应。
使用公开可用的 AI 模型进行网络防御的工具
许多通用模型已经能够发现大量软件漏洞,即使它们无法发现最复杂的漏洞或像 Claude Mythos Preview 那样有效地利用它们。Project Glasswing 已经促使许多其他组织使用这些通用模型对其自身代码库采取行动;我们正在努力使其变得更加容易。
首先,我们已向 Claude Enterprise 客户公开测试版发布了 Claude Security。这是一个帮助团队扫描代码库以发现漏洞的工具,并且可以生成针对这些漏洞的修复建议。自发布以来三周内,Claude Opus 4.7 已被用于修补超过 2100 个漏洞。(这比上述开源修补速度更快,很大程度上是因为企业正在修复自己的代码,而开源修复通常需要志愿维护者通过协调披露来完成。)
我们还启动了网络验证计划(Cyber Verification Program),允许出于合法网络安全目的(如漏洞研究、渗透测试和红队演练)使用我们模型的安全专业人员,在不受某些旨在防止网络滥用的安全防护措施限制的情况下使用模型。
现在,我们正将我们和合作伙伴在 Mythos Preview 上使用的工具,按需提供给符合条件的客户的网络安全团队。我们的目标是让用户无需大量设置即可轻松获得高能力公开模型的最佳性能。此次发布包括:
- 我们和合作伙伴构建并共享的技能(针对重复性工作的自定义指令); - 一个 harness,帮助 Claude 映射代码库、启动扫描子代理、分流其发现并撰写报告; - 一个威胁模型构建器,可映射代码库以识别潜在的攻击目标,并相应地对模型的工作进行优先级排序。
我们的 Project Glasswing 合作伙伴之一 Cisco 最近也开源了其 Foundry Security Spec,以帮助其他防御者构建类似他们自己使用的评估系统。
支持生态系统
我们已与开源安全基金会(Open Source Security Foundation)的 Alpha-Omega 项目建立合作伙伴关系,这将支持该基金会协助维护者处理和分流 bug 报告。我们还将继续发布关于前沿模型能力如何最好地支持网络防御者的研究。
我们还支持开发了 ExploitBench 和 ExploitGym 这两个新基准,它们使研究人员能够随着时间的推移跟踪前沿 AI 模型的漏洞利用开发能力,我们在此处进行了讨论。我们通过外部研究人员访问计划(External Researcher Access Program)支持开发其他高质量的定量基准。最后,Claude for Open Source 支持维护者和贡献者,我们承诺在未来对我们自己采用的任何开源软件包进行扫描。
Project Glasswing 的下一步计划
AI 进步的速度意味着,像 Mythos Preview 一样能力强大的模型很快将由许多不同的 AI 公司开发。目前,没有一家公司(包括 Anthropic)已经开发出足够强的安全保障措施来防止此类模型被滥用并可能造成严重危害。这就是为什么我们尚未向公众发布 Mythos 级模型。但这也是我们启动 Project Glasswing 的原因:如果类似能力的模型在没有此类安全保障的情况下发布,那么几乎世界上的任何人都将能够以极低的成本和难度利用有缺陷的软件。
Glasswing 帮助最具有系统重要性的网络防御者获得不对称优势。然而,迫切需要有尽可能多的组织来加强他们的网络防御。我们希望我们普遍可用的模型,以及我们随同提供的新工具、资源和研究,能够支持这些组织改善其网络安全态势。
接下来,我们将与关键合作伙伴(包括美国及盟国政府)合作,将 Project Glasswing 扩展到更多合作伙伴。在不久的将来,一旦我们开发出所需的更强大的安全保障措施,我们期待通过通用发布方式提供 Mythos 级模型。
在这些风险的彼岸,有一个令人鼓舞的世界在等待着我们:一个关键代码比今天得到更好加固的世界,一个黑客攻击远没有那么普遍的世界。尽管存在许多障碍,但我们仍然相信 Project Glasswing 能够帮助我们到达那里。