夜雨聆风有个研究员正坐在公园里吃三明治,手机忽然震了一下。
发来邮件的,不是同事,不是老板,而是一个被他关进密封沙盒、理论上完全断网的 AI。可偏偏,这个模型竟然自己找到了“出去”的路。
这个模型,叫 Claude Mythos Preview。 说真的,我觉得这也许是 2026 年目前最重磅的一次 AI 官宣。
它真正可怕的地方,不在于它此刻能给普通用户带来什么,而在于:它让我们第一次隐约看见,Anthropic 实验室里到底还藏着怎样的“底牌”。
那么,Project Glasswing 到底是什么?
就在这周早些时候,Anthropic 公布了一个名为 Project Glasswing 的计划。而在那条公告里,真正值得所有人起鸡皮疙瘩的,是一个被夹在其中的模型:Claude Mythos Preview。
这个模型,并不向你我开放。
它不在 API 里,买不到,也没有排队名单。之所以如此,不是因为产品还没准备好,而是因为它强得太特殊了。
它寻找并利用软件漏洞的能力,已经超过了任何一个现役黑客;再往大一点说,它甚至比全球最顶尖的人类安全专家都更能打。更关键的是,这不是传说,这是 Anthropic 自己造出来的东西。
而 Anthropic 的反应,也很不寻常。
他们没有选择直接上线、按量收费、顺手把市场吃掉;相反,他们拉来几乎所有头部科技公司,先用这个模型去修补互联网,把能堵的洞尽量先堵上,赶在坏人自己做出同类系统之前。 这一步,意义完全不一样。
参与者,以及那笔钱
站在 Glasswing 背后的联盟,名单长得有点夸张:AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JP Morgan、Linux Foundation、Microsoft、NVIDIA,以及 Paloalto Networks。
如果你对科技行业稍微有一点了解,看到这串名字,大概都会停一下。 因为这几乎就是安全与基础设施领域最核心的一桌人,如今却坐在同一张桌上,为的是同一件事。
他们已经为这个项目承诺投入超过 1 亿美元 的使用额度。除此之外,Anthropic 还直接向开源安全组织投入了 400 万美元,并额外让 40 家机构接入该模型,用来扫描它们各自的系统。
企业不会为了一个空洞的新闻稿,随手写下九位数的支票。 之所以愿意真金白银下场,是因为 Claude Mythos Preview 已经在所有主流操作系统和主流浏览器中,找出了数千个高危漏洞——其中不少,很可能就潜伏在你今天正在使用的设备里,而之前的人类安全团队压根没发现。
Anthropic 这次几乎是在明牌: “这些洞,我们比坏人更早看见了。既然如此,那就先把它们补上。”
这些基准测试,到底意味着什么
Agentic search and computer use
Mythos 与 Anthropic 当前公开最强模型 Opus 4.6 之间的差距,并不是那种“快一点、准一点”的微小进步。 更准确地说,它们已经不像在同一个量级里竞争了,而像是站在了不同的层级。
Agentic Coding
在一个针对 Mozilla Firefox JavaScript 引擎进行漏洞利用开发的单项测试里,Opus 4.6 在数百次尝试中只成功了 2 次;而 Mythos 成功了 181 次。除此之外,它还额外有 29 次 做到了完整寄存器控制。
Reasoning
在 Anthropic 内部的崩溃严重性基准中,Opus 4.6 只 1 次 触及最高等级;然而 Mythos 在目标系统已经打满补丁的前提下,仍然 10 次 达到这一层级。
它找到了横跨所有主流操作系统与主流浏览器的 零日漏洞——也就是此前没人知道存在的漏洞。 其中最老的一个,甚至来自 OpenBSD,一个几乎把“安全”刻进骨子里的操作系统;而那个漏洞,已经静静躺了 27 年,直到被它翻出来,如今才被修复。
更夸张的是,当人类安全专家回头审查它提交的漏洞报告时,他们与 Mythos 的严重性判断 89% 完全一致;在 98% 的案例中,双方的判断也只差一个等级。
这已经不是普通意义上的升级了。 这几乎是在告诉所有人:天花板,被整体抬高了一大截。
真正值得聊的,不只是安全
我真正想说的,其实不是安全新闻本身。 当然,安全这件事很重要,而且非常重要;然而,它并不是这次公告里最值得反复咀嚼的那一层。
真正的重点在于:这条公告,暴露了 Anthropic 当下真实的能力边界。
你可以这样理解。 今天我们在用的 Claude Sonnet、Claude Opus,是 Anthropic 判断为“已经足够安全、可以交给几百万人去用”的版本。可 Mythos 显然不属于这一类。它被做出来了,但几乎是立刻就被判定:这个版本,不能公开。
这意味着什么? 意味着 Anthropic 的实验室里,此刻很可能确实放着一批能力明显强于公众可接触版本的模型。 这不是我在阴谋论式地“脑补”,而是他们亲自通过公告递出来的明确信号。
公开的 Claude,从来都不一定是最强的 Claude。 只是直到这一次,我们才第一次比较具体地看见:原来内部版本和公开版本之间,那道鸿沟,可能比很多人想象得大得多。
这对正在做 AI 的人,意味着什么
如果你现在正在用 AI 做产品、搭流程、养习惯,这反而是个相当让人兴奋的消息。
因为每一次新的 Claude 版本被推向公众,它都不是 Anthropic 手里“最新鲜”的那一个;它只是那个经过红队测试、经过评估、并被认为适合大规模开放的版本。 而在公开版本之上,往往还压着一层更强的能力,只是那一层仍在被测试、被校准、被研究如何更安全地交到大众手里。
而且,这种“内部能力领先外部发布”的差距,大概率不是在缩小,反而可能还在继续拉大。 也就是说,等到今年晚些时候新一轮公开 Claude 发布时,它们背后依托的底层能力,很可能已经超出了我们现在能想象到的范围。
因此,今天那些真正把 AI 用起来、做起来、磨出肌肉记忆的人,未来会拥有更明显的先发优势。 另一边,那些还停留在围观、怀疑、顺手点评阶段的人,与前者之间的距离,只会越拉越大。 Glasswing 的出现,不过是把这件事摊开来讲明白了。
我们仍然不知道什么
这里我也想说得坦白一点,因为这很重要。
我们不知道它的具体架构; 不知道它的真实成本,而这很可能是关键变量之一; 不知道它最明显的失效模式,也不知道它最不擅长的边界到底在哪里; 更不知道这类能力会在什么时候、以什么形式,甚至会不会真正向公众开放。
也许其中一部分能力会以限制更多的方式被释出;也许有些能力会永久停留在受控环境里。 说到底,我们现在真的不知道。
不过,站在安全披露的语境下看,这种克制本身反而是合理的。 毕竟,面对的是一个已经足以改变攻防平衡的模型。
最后
Anthropic 这一次,显然不只是想把自己放在“聊天机器人公司”的位置上。 它更像是在告诉行业:他们想参与建设的,是整个互联网的安全基础设施,而且,他们已经拉来了一群愿意真金白银下注的巨头,共同把这件事做下去。
一个具体的模型。 一个具体的联盟。 一组强到不能轻易公开、却又重要到无法回避的能力。
所以,如果你现在已经觉得 Opus 和 Sonnet 很强,那恐怕还只是开始。 Anthropic 这次等于掀开了一点帘子,让我们偷看到天花板真正的高度。 而那高度,老实说,比大多数人心理准备中的还要高得多。
