Anthropic Project Glasswing 震撼發布:Claude Mythos Preview 找出上千零日漏洞,AI 資安時代正式來臨!
Anthropic 推出 Project Glasswing,並非發布新產品,而是聯手 Amazon、Apple、Google、Microsoft 等夥伴,將 AI 直接用於全球軟體漏洞的提前發現與修補,明確把「防禦優先」作為核心策略。
Anthropic 推出 Project Glasswing,直接把 Amazon、Apple、Google、Microsoft 等重量級夥伴一同拉上,目的只有一個:用 AI 先把全世界軟體裡那些藏的漏洞挖出來、補起來。不再只是一個單一產品,也不是模型更新,Anthropic 把「防禦優先」這四個字真正落實。
Claude Mythos Preview
Anthropic 還沒正式發布的 frontier 模型 Claude Mythos Preview。在找漏洞和寫 exploit 上的表現,已經不是「輔助」這麼簡單。CyberGym 分數從前一代的 66.6% 跳到 83.1%,SWE-bench Pro 從 53.4% 衝到 77.8%,多模態 SWE-bench 更是直接翻倍到 59%。
完全自主運作,不需要人盯著引導,就能發現、分析,還串起 exploit 鏈。結果挖出上千個高危零日漏洞,涵蓋每個主流作業系統和瀏覽器。有些漏洞甚至躲了 27 年(OpenBSD 那個能遠端讓機器崩潰的)、16 年(FFmpeg 躲過五百萬次自動測試的),還有 Linux kernel 裡能讓一般使用者直接拿到 root 權限的鏈式漏洞。
為什麼不全面開放?
這麼強的模型,如果直接丟到市場上,攻擊者的武器庫會瞬間升級。經濟、公共安全、國家安全都可能出大事。
Anthropic 直接承認風險很高,只把模型給 Project Glasswing 的夥伴使用,包括 Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks 等。
一次砸下高達 1 億美元的 API credits,還捐 400 萬美元給開放原始碼安全組織,讓更多關鍵基礎設施維護者也能用。這步棋下得又重又急,顯示時間窗口真的在快速關閉。
負責態度
Anthropic 把這件事當成「讓防守方先跑一步」的起點。
所有發現的漏洞都已經通報並修補。他們承諾 90 天內分享更多可公開的發現和經驗,也會跟業界、政府討論漏洞揭露、軟體更新、secure-by-design 等實務建議。開放原始碼維護者還能透過相關計畫申請使用,算是給社群實際的幫助。
不是把 AI 當玩具,而是真正把最強工具先交給需要保護的人。
AI 資安
Project Glasswing 是 Anthropic 在 AI 時代資安議題上一次清醒且有擔當的行動。他們沒假裝風險不存在,而是主動把 Claude Mythos Preview 用在最需要的地方,讓防守方多一點時間把關鍵軟體 harden 起來。
AI 既能攻也能守的時代已經來了,而 Anthropic 選擇先站在防守這一邊。
