Glasswing 项目：Anthropic 的 AI 网络安全计划 (2026)

TL;DR

详情	Project Glasswing
定义	Anthropic 的防御性网络安全倡议
技术支持	Claude Mythos Preview — Anthropic 功能最强大的模型
核心能力	自主发现并利用零日漏洞 (zero-day vulnerabilities)
范围	在所有主流 OS 和浏览器中发现了数千个零日漏洞
公开访问	无 — 首个从未向公众开放的 Anthropic 模型
合作伙伴	AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation
资金投入	1 亿美元的使用额度 + 400 万美元的开源安全捐赠
发布日期	2026 年 4 月 7 日

什么是 Project Glasswing？

Project Glasswing 是 Anthropic 的一项倡议，旨在利用 AI 识别并修复关键软件中未被发现的网络安全漏洞 —— 其规模是任何人工团队都无法企及的。

该项目以玻璃翼蝶（以其透明的翅膀闻名，象征着安全领域的透明度）命名，其核心是 Claude Mythos Preview。这是 Anthropic 认为过于强大而无法向公众发布的一款前沿模型。

其前提非常简单：如果下一代 AI 模型能够自主发现并利用安全漏洞，那么在攻击者构建自己的工具之前，防御者必须先掌握这些能力。Anthropic 没有选择向全世界发布 Mythos Preview 并寄希望于最好的结果，而是选择将其部署为一种防御工具，提供给维护全球赖以生存的软件的组织。

这使得 Project Glasswing 成为此类计划中的首例 —— 一家 AI 公司蓄意限制其最先进模型的访问权限，并将其能力引导至特定的防御任务。

为什么发起 Project Glasswing？

在内部测试期间，Anthropic 发现 Claude Mythos Preview 能够做到之前任何 AI 模型都未曾展示过的事情：在真实的生产软件中自主发现并利用零日漏洞。

摘自 2026 年 4 月 7 日发布的 244 页系统卡 (system card)：

"与之前的模型相比，Claude Mythos Preview 在网络能力方面表现出了惊人的飞跃，包括在主流操作系统和 Web 浏览器中自主发现并利用零日漏洞的能力。"

关键词是“自主”。以前的 AI 模型可以在专家的指导下协助进行漏洞研究。而 Mythos Preview 可以自行运行整个过程 —— 阅读源代码、对潜在缺陷提出假设、编写概念验证 (PoC) 利用程序，并生成包含复现步骤的完整漏洞报告。

Anthropic 意识到，如果他们的模型能做到这一点，那么类似的能力在其他地方出现只是时间问题。问题变成了：我们是让防御者先走一步，还是坐以待毙？

他们选择了先行一步。

网络能力：Mythos Preview 究竟能做什么

Anthropic 的测试结果在广度和深度上都令人震惊。

关键基础设施中的数千个零日漏洞

在几周的时间里，Claude Mythos Preview 发现了数千个以前未知的漏洞 —— 其中许多被评为严重级别 —— 涉及：

每个主流操作系统 (Windows, macOS, Linux, FreeBSD, OpenBSD)
每个主流 Web 浏览器 (Chrome, Firefox, Safari, Edge)
其他关键软件基础设施组件

超过 99% 的已发现漏洞尚未修复，这也是 Anthropic 仅公开了少数具体案例的原因。

已披露的具体漏洞

在已修复并可以公开讨论的漏洞中包括：

CVE-2026-4747 —— 一个 FreeBSD 中存在了 17 年之久的远程代码执行漏洞。该漏洞存在于 NFS 实现中，允许来自互联网任何地方的未经身份验证的攻击者获得 root 权限。Mythos Preview 发现并完全自主地构建了有效的利用程序。

一个 OpenBSD 中存在了 27 年之久的漏洞 —— 这一点非常引人注目，因为 OpenBSD 的核心理念就是安全性。这是该模型发现的最古老的漏洞。

FFmpeg H.264 编解码器中一个 16 年前的漏洞 —— 影响了世界上部署最广泛的多媒体处理库之一。

高级利用程序开发

Mythos Preview 不仅仅是寻找漏洞。它还能将漏洞串联成复杂的攻击序列：

在一个案例中，它编写了一个串联了四个独立漏洞的 Web 浏览器利用程序，其中包括一个逃逸了渲染器沙箱和 OS 沙箱的 JIT 堆喷射。
它通过利用细微的竞态条件和 KASLR 绕过，自主开发了 Linux 上的本地提权 (local privilege escalation) 利用程序。
它生成完整的包含复现步骤的 PoC 利用程序，并格式化为专业的漏洞报告，供开发人员分流评估。

技术工作原理

Anthropic 通过 Claude Code（其智能体编码环境）运行 Mythos Preview。模型被提示寻找安全漏洞，然后以智能体方式执行：

阅读源代码以理解攻击面
基于代码模式假设潜在漏洞
编写测试工具和利用代码以确认其假设
生成带有有效 PoC 利用程序的结构化漏洞报告

该过程是端到端自主的。不需要人类引导其完成单个步骤。

合作伙伴有哪些？

Project Glasswing 启动时有 12 家创始合作伙伴，目前已扩展到 40 多个组织。

创始合作伙伴

组织	角色
Amazon Web Services	云基础设施提供商
Apple	OS 与浏览器厂商
Broadcom	半导体与基础设施软件
Cisco	网络与安全基础设施
CrowdStrike	终端安全平台
Google	OS、浏览器与云厂商
JPMorgan Chase	金融基础设施
Linux Foundation	开源软件生态系统管理者
Microsoft	OS、浏览器与云厂商
NVIDIA	GPU 与 AI 基础设施
Palo Alto Networks	网络与云安全

合作伙伴名单因其广度而备受关注。它涵盖了操作系统厂商 (Apple, Microsoft, Google)、云提供商 (AWS, Google, Microsoft)、安全公司 (CrowdStrike, Palo Alto Networks)、金融基础设施 (JPMorgan Chase) 以及开源生态系统 (Linux Foundation)。

开源资金

Anthropic 承诺向开源安全组织直接捐赠 400 万美元：

向通过 Linux Foundation 运作的 Alpha-Omega 和 OpenSSF 捐赠 250 万美元
向 Apache Software Foundation 捐赠 150 万美元

这一点至关重要，因为世界上许多关键软件基础设施都是开源的，由安全预算有限的小型团队维护。这笔资金可以帮助这些组织针对 Mythos Preview 发现的漏洞采取行动。

1 亿美元的承诺

Anthropic 承诺为 Project Glasswing 中的 Mythos Preview 提供高达 1 亿美元的使用额度。

这个数字反映了自主漏洞发现对计算资源的密集需求。在每个主要软件项目的数百万行代码中运行 Mythos Preview 是非常昂贵的。通过提供额度而不是向合作伙伴收费，Anthropic 消除了原本会减慢防御工作的成本壁垒。

作为参考，1 亿美元的额度可能代表数万个 GPU 小时，专门用于在攻击者利用漏洞之前发现并记录这些安全缺陷。

为什么不公开发布该模型？

这是每个人都会问的问题。Anthropic 的理由分为三个层面：

1. 双重用途风险极高。 使 Mythos Preview 在防御方面具有价值的能力 —— 自主发现并利用零日漏洞 —— 同样会使其在进攻方面极具价值。公开发布它将使世界上的每一个攻击者都能获得一种工具，其发现可利用漏洞的速度比任何人工团队修复漏洞的速度都要快。 2. 不对称性有利于攻击者。 攻击者只需要发现一个漏洞，而防御者需要修复所有漏洞。一个公开可用的漏洞发现 AI 会使这种不对称性进一步向攻击者倾斜，即使防御者也拥有访问权限。 3. 受控部署是有效的。 通过将访问权限限制在维护关键基础设施的组织，Anthropic 确保模型的输出直接进入修复流程。漏洞被发现，通过协同披露进行报告，并得到修复 —— 而利用代码不会泄露到野外。

这使得 Claude Mythos Preview 成为 第一个从未向公众开放的 Anthropic 模型。系统卡已全文发布（共 244 页），但模型本身仍受限制。

行业反应与担忧

Project Glasswing 在技术和政策领域引起了极大关注。

积极评价

安全研究人员和行业领袖广泛赞扬了这一倡议。Simon Willison 指出，鉴于所述的能力，将 Mythos 的使用权限限制在安全研究人员范围内“听起来很有必要”。据 CNBC 报道，美联储主席 Powell、财政部长 Bessent 与美国主要银行 CEO 之间讨论了这一倡议，反映了 AI 驱动的漏洞发现具有系统重要性。

怀疑与担忧

并非所有人都被说服。一些行业资深人士认为，发现漏洞从来不是瓶颈 —— 真正的问题是让组织实际去修复它们。正如 Fortune 报道，发现与修复之间的差距仍然是安全链中最薄弱的一环。

其他人则担心这会开创一个先例，即由一家 AI 公司决定哪些组织可以获得强大的能力，哪些不能。英国 AI 安全学院 (AISI) 发布了自己对 Mythos Preview 网络能力的评估，对这些声明提供了独立评估。

接下来会发生什么？

这会成为前沿 AI 的新常态吗？

很有可能。随着 AI 模型变得越来越强大，限制访问具有极端双重用途能力的模型可能会成为标准做法。Project Glasswing 是一个运作模板：透明地发布系统卡，限制模型本身，将能力导向防御。

其他 AI 公司会效仿吗？

OpenAI 已经在开展自己的网络安全计划，形成了 Crypto News 所描述的 AI 公司在防御性网络能力方面的“竞赛”。

漏洞何时会披露？

Anthropic 正在遵循标准的协同漏洞披露流程。随着受影响厂商发布补丁，相应的漏洞细节将向公众开放。考虑到漏洞数量之巨 —— 数千个零日漏洞 —— 这一过程将耗时数月甚至更久。

常见问题解答

“Glasswing”是什么意思？

这个名字来自玻璃翼蝶 (Greta oto)，它们的翅膀几乎是透明的。这个比喻代表了透明度 —— 既体现在 Anthropic 发布完整系统卡的方法上，也体现在使软件基础设施更加可见和安全的目标上。

我可以使用 Claude Mythos Preview 吗？

除非你在 Project Glasswing 联盟的 40 多家合作伙伴机构之一工作，否则不能。Anthropic 尚未宣布公开发布 Mythos Preview 的计划。

Project Glasswing 与 Claude Opus 4.6 或 Claude Sonnet 有关吗？

没有。Mythos Preview 是一个独立的、能力更强的模型。Claude Opus 4.6 和 Sonnet 4.6 仍然可以通过 Anthropic API 和消费级产品获得。Project Glasswing 专门使用 Mythos Preview，因为它具有卓越的网络安全能力。

Mythos Preview 在网络安全任务上的表现与其他模型相比如何？

目前还没有其他公开已知的模型展现出如此大规模自主发现和利用零日漏洞的能力。系统卡中描述的能力在 Anthropic 看来，代表了超越以往所有模型的“惊人飞跃”。

这是否意味着 AI 将取代人类安全研究人员？

不。模型生成漏洞报告和 PoC 利用程序，但仍需要人类安全工程师来验证发现、开发补丁、测试修复并协调披露。可以把它看作是一个战力倍增器，极大地扩展了安全团队所能覆盖的范围。

模型被窃取或泄露的风险如何？

这是一个合理的担忧，Anthropic 已在系统卡中进行了阐述。受控部署模式 —— 合作伙伴通过受控基础设施访问 Mythos Preview，而不是下载模型权重 —— 旨在最大限度地降低这种风险。

总结

Project Glasswing 代表了前沿 AI 能力部署方式的一个转折点。Anthropic 没有采取默认的“广泛发布，事后再处理后果”的方法，而是选择了针对特定防御任务的定向部署。

无论你将其视为负责任的 AI 治理，还是私人公司把持强大技术的危险先例，其结果都难以反驳：全球最重要软件中的数千个关键漏洞在攻击者发现它们之前，就被发现并进入了补丁流程。

网络安全方面的影响是立竿见影的。而治理方面的影响则需要数年时间才能完全显现。

在 Y Build，我们追踪 AI 能力的前沿及其如何重塑软件开发和安全。虽然 Project Glasswing 专注于网络安全，但其潜在趋势 —— AI 模型的能力强大到需要受控部署 —— 将塑造未来几年每一位开发者与 AI 的协作方式。

来源：