零日漏洞以前像藏宝图，谁先发现，谁就先占便宜。可到了 AI 时代，这套游戏规则正在松动。模型一旦更会读复杂代码、定位异常逻辑、推演利用链，它既能帮防守方补洞，也可能帮攻击者更快找到入口。

事情是怎么来的

零日漏洞以前像藏宝图，谁先发现，谁就先占便宜。可到了 AI 时代，这套游戏规则正在松动。模型一旦更会读复杂代码、定位异常逻辑、推演利用链，它既能帮防守方补洞，也可能帮攻击者更快找到入口。

Anthropic 推出 Project Glasswing，本质上是在抢一个时间差。它把更强的模型先交给关键基础设施和大型安全团队，让他们尽可能在攻击者普遍拿到同等级能力之前，先把最危险的一批洞找出来、补上去。

为什么这次要拉一整个联盟

这类项目单靠一家模型公司确实做不成。官方把参与者列得很长，AWS、Apple、Cisco、Google、Microsoft、NVIDIA、Linux Foundation 这些都在里面。原因很简单，关键软件基础设施不是一个仓库，也不是一个供应商，它是硬件、云、开源组件和企业内部系统层层套起来的网络。

所以 Glasswing 的思路很现实，不是做一个超级英雄工具，而是先把能看见关键代码面的人聚起来。Anthropic 还承诺了最高 1 亿美元的使用额度和 400 万美元给开源安全组织。这个动作说明了一件事，AI 补洞如果想真正有用，必须先让那些最缺资源但最关键的维护者也能用上。

大模型补洞到底靠什么

Anthropic 对 Mythos Preview 的描述很直接，它是一个通用前沿模型，但之所以在安全上强，是因为它本来就更会理解和修改复杂软件。你把这句话翻译一下，就是模型安全能力并不是凭空长出来的，而是代码理解、长链推理和代理执行一起叠出来的副产品。

项目页里甚至提到，Mythos Preview 已经在关键基础设施上发现了成千上万的零日漏洞。这里最值得注意的，不是绝对数字，而是它揭示的工作方式。以后补漏洞不会只是人工审一遍，再跑几个扫描器，而是模型先大范围筛查、重现、修补，人类团队再集中验证高风险项。

靠谱，但前提是防守要先跑起来

用大模型补软件漏洞靠谱吗。我的判断是，靠谱，但它不是自动靠谱。因为越强的漏洞发现能力，越不能裸奔。项目里专门强调 system card、red teaming 和受控预览，这些东西听起来不性感，却决定了模型会不会在还没形成防守能力前先被攻击者学会。

更现实的一点是，未来安全竞赛可能不再是单个黑客和单个公司之间的较量，而是联盟和联盟之间的速度赛。谁先把模型接进开源维护、企业代码库和基础设施巡检，谁就更可能把最痛的一批漏洞提前消掉。安全行业最怕的，从来都不是问题难，而是发现得太晚。

最后再说一句

所以这件事真正值得关注，不只是 AI 会不会找漏洞，而是防守生态有没有能力先把它变成集体工具。只要这一步跑赢，AI 带来的就不只是更快的攻击面，也可能是更快的修复面。