Anthropic 在 2026 年 5 月 22 日发布 Project Glasswing 初步更新,主题很直接:AI 已经把网络安全的瓶颈由「找不到漏洞」推向「人类能否及时验证、披露和修补」。这是一个比单纯模型能力更重要的转折。
Project Glasswing 是 Anthropic 上月推出的协作安全计划,目标是在更强 AI 被攻击者滥用之前,先用 AI 协助保护关键软件。Anthropic 表示,过去数周约 50 个合作伙伴使用 Claude Mythos Preview,已找到超过 10,000 个 high 或 critical severity vulnerabilities。
文章提到,多数合作伙伴在一个月后各自都找到数百个高危或严重漏洞,有些团队的找 bug 速度提高超过 10 倍。Cloudflare 方面,Anthropic 引述其在 critical-path systems 中找到 2,000 个 bug,其中 400 个属高危或严重,并认为 false positive rate 比人类 tester 更好。
开源软件部分同样值得留意。Anthropic 表示 Mythos Preview 扫描了超过 1,000 个 open-source projects,初步估算找到 6,202 个高危或严重漏洞。经六间独立安全研究公司及少量 Anthropic 内部评估后,部分样本中 90.6% 被证实为有效 true positives,62.4% 被确认为高危或严重。
这些数字不应被简化成「AI 会取代安全团队」。Anthropic 反而反复指出,新的瓶颈在于人类 capacity:要 triage、报告、修补和部署,每一步都需要维护者、供应商和安全研究员处理。文章更提到有维护者要求放慢披露速度,因为需要更多时间设计 patch。
对企业来说,Project Glasswing 的启示是安全流程要重新设计。AI 可以加快发现问题,但如果企业没有漏洞分类、责任分工、披露策略、修补排程和验证流程,更多发现反而会制造 backlog。AI 安全能力本身不等于安全成果,流程吞吐量才是关键。
这亦提醒所有使用 AI agent 的团队:agent 越能接触工具、codebase 和系统,越需要更成熟的权限、审计和修补机制。Project Glasswing 展示的不是一个单点工具,而是一个 AI 发现能力与人类治理能力之间的压力测试。
