Anthropic 在 2026 年 5 月 22 日發布 Project Glasswing 初步更新,主題很直接:AI 已經把網絡安全的瓶頸由「找不到漏洞」推向「人類能否及時驗證、披露和修補」。這是一個比單純模型能力更重要的轉折。
Project Glasswing 是 Anthropic 上月推出的協作安全計劃,目標是在更強 AI 被攻擊者濫用之前,先用 AI 協助保護關鍵軟件。Anthropic 表示,過去數週約 50 個合作夥伴使用 Claude Mythos Preview,已找到超過 10,000 個 high 或 critical severity vulnerabilities。
文章提到,多數合作夥伴在一個月後各自都找到數百個高危或嚴重漏洞,有些團隊的找 bug 速度提高超過 10 倍。Cloudflare 方面,Anthropic 引述其在 critical-path systems 中找到 2,000 個 bug,其中 400 個屬高危或嚴重,並認為 false positive rate 比人類 tester 更好。
開源軟件部分同樣值得留意。Anthropic 表示 Mythos Preview 掃描了超過 1,000 個 open-source projects,初步估算找到 6,202 個高危或嚴重漏洞。經六間獨立安全研究公司及少量 Anthropic 內部評估後,部分樣本中 90.6% 被證實為有效 true positives,62.4% 被確認為高危或嚴重。
這些數字不應被簡化成「AI 會取代安全團隊」。Anthropic 反而反覆指出,新的瓶頸在於人類 capacity:要 triage、報告、修補和部署,每一步都需要維護者、供應商和安全研究員處理。文章更提到有維護者要求放慢披露速度,因為需要更多時間設計 patch。
對企業來說,Project Glasswing 的啟示是安全流程要重新設計。AI 可以加快發現問題,但如果企業沒有漏洞分類、責任分工、披露策略、修補排程和驗證流程,更多發現反而會製造 backlog。AI 安全能力本身不等於安全成果,流程吞吐量才是關鍵。
這亦提醒所有使用 AI agent 的團隊:agent 越能接觸工具、codebase 和系統,越需要更成熟的權限、審計和修補機制。Project Glasswing 展示的不是一個單點工具,而是一個 AI 發現能力與人類治理能力之間的壓力測試。
