文章总结： Anthropic联合多家科技巨头于2026年4月8日公布ProjectGlasswing项目，通过开放其顶级模型ClaudeMythosPreview的访问权限，利用AI自主代码推理能力对关键基础设施和开源软件进行大规模漏洞挖掘与修复。该项目展现了超越传统工具的自主性与逻辑推理能力，发现了包括FFmpeg、OpenBSD及Linux内核中的多个长期存在的高危漏洞，并能自主构建复杂攻击链。项目采取防御优先策略，限制权限分发以建立防御壁垒，并强调从发现到修复的闭环流程，标志着网络安全防御体系向自主智能化转型，加剧了攻防不对称性，并对开源生态安全及安全工程师技能转型提出新的挑战。 综合评分： 92 文章分类： 漏洞分析,AI安全,网络安全,安全建设,解决方案

Anthropic的“Project Glasswing”

原创

王水江 王水江

CISSP Learning

2026年4月8日 15:33 北京

2026年4月8日，Anthropic联合Amazon、Microsoft、Google等科技巨头正式公布了“Project Glasswing”。该项目旨在通过开放其未发布的顶级模型Claude Mythos Preview的访问权限，利用AI的自主代码推理能力对关键基础设施和开源软件进行大规模的漏洞挖掘与修复。

这一举措标志着网络安全防御体系正从“辅助自动化”向“自主智能化”转型。本文将从技术架构、漏洞挖掘能力及行业影响三个维度，对Project Glasswing及其背后的模型能力进行客观分析。

Claude Mythos的技术能力基准

Project Glasswing的核心依托是Claude Mythos Preview模型。根据Anthropic公布的数据，该模型并非针对安全场景进行单一微调，而是其通用编码与推理能力涌现的结果。在多项基准测试中，Mythos展现出了超越当前旗舰模型（如Claude Opus 4.6）的性能。

这种性能跃升直接转化为漏洞挖掘效率的质变。在测试中，Mythos不仅发现了数千个此前未被记录的零日漏洞，更展现了处理复杂依赖关系的能力。

自主漏洞挖掘的实证案例

与传统的静态应用程序安全测试（SAST）工具不同，Mythos展现了“自主性”和“逻辑推理”两大核心优势。以下是该项目披露的三个关键技术案例：

1. 超越传统模糊测试的盲区 在针对FFmpeg多媒体库的审计中，Mythos发现了一个存在长达16年的漏洞。值得注意的是，该行代码此前已被自动化模糊测试工具扫描超过500万次，但始终未被触发。这表明AI模型能够理解代码的语义逻辑，而非仅仅依赖输入变异来触发异常。
2. 长周期代码库的深度审计 模型在OpenBSD操作系统中发现了一个存活27年的远程崩溃漏洞。OpenBSD以代码质量和安全性著称，该漏洞允许攻击者仅通过连接目标机器即可导致系统崩溃。这证明了AI在处理历史悠久、逻辑复杂的遗留代码库时，具备比人类专家更持久的专注力和更广泛的覆盖度。
3. 复杂攻击链的自主构建 在Linux内核测试中，Mythos展示了从“单点漏洞发现”到“攻击链构建”的跨越。它自主发现并串联了多个独立的Linux内核漏洞，构建出一条完整的提权路径，实现了从普通用户权限到完全接管系统的攻击。这种能力通常仅存在于顶级安全研究员的水平。

Project Glasswing的防御架构与策略

面对AI模型日益增强的攻防能力，Project Glasswing采取了一种“防御优先”的联盟策略。

访问控制与分发机制 目前，Mythos Preview不向公众开放。Anthropic将其访问权限限制在12家创始合作伙伴（如Cisco, CrowdStrike, NVIDIA）和40余家关键基础设施维护组织手中。这种受限分发模式旨在防止该技术被恶意利用，同时让防御方在攻击者获得同等能力前建立防御壁垒。

闭环修复流程 该项目强调从“发现”到“修复”的闭环。Glasswing不仅关注漏洞扫描，更强调自动化修补和验证。Anthropic承诺提供高达1亿美元的模型使用额度，并捐赠400万美元给Linux基金会等开源组织，以支持开源软件的维护者应对AI时代的代码审计压力。

时间窗口管理 项目设定了90天的公开报告节点。在此期间，合作伙伴将共享最佳实践，Anthropic将发布关于漏洞数量、修复进度及模型改进的研究报告。这种机制试图在商业竞争与公共安全之间寻找平衡点。

行业影响与技术展望

Project Glasswing的启动对网络安全行业提出了新的技术命题。

攻防不对称性的加剧 虽然Glasswing旨在加强防御，但其技术原理具有双重用途。攻击者同样可以利用类似的AI模型自动化寻找漏洞，将攻击成本大幅降低。CrowdStrike的数据显示，攻击者利用AI从初始入侵到横向移动的时间已缩短至半小时以内。这意味着防御方必须依赖AI进行实时响应，单纯依靠人力已无法应对AI驱动的攻击频率。

开源生态的“安全分层” 拥有预算的大型科技公司可以通过Glasswing快速修补自身产品，而缺乏资源的开源项目可能面临更大的风险。尽管Anthropic提供了捐赠和访问权限，但在AI算力成为核心安全资源的背景下，开源社区可能面临新的“数字鸿沟”。

安全工程师的技能转型 未来的安全工作将不再局限于编写规则或手动审计。安全从业者需要掌握如何引导AI进行代码审计、如何评估AI生成的攻击链以及如何验证AI生成的补丁。理解大语言模型的推理逻辑，将成为安全专家的核心竞争力。

综上所述，Project Glasswing不仅是一次商业发布，更是AI技术重塑网络安全格局的里程碑。它证明了AI已具备独立发现并利用高危漏洞的能力，行业必须加速向“AI对抗AI”的防御体系演进。

参考资料： Anthropic官方博客: Project Glasswing Anthropic系统卡: Claude Mythos Preview

本公众号各类文章仅供学习交流之用！

更多资料获取，请加入【网络安全行业研究】知识星球

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CISSP Learning 王水江 王水江《Anthropic的“Project Glasswing”》