夜雨聆风Anthropic Project Glasswing:最顶尖的AI正在帮全世界修代码
AI发现漏洞的速度,已经超过了人类修复的速度
▲ Glasswing项目概念图:透明数字羽翼保护全球关键软件
你有没有想过一个问题:在AI写代码越来越快的今天,谁来负责检查这些代码有没有漏洞?
答案是:AI自己来查。
Anthropic在5月22日发布了Project Glasswing的最新进展。这个项目启动仅仅一个月,就已经引发了网络安全领域的震动。
数据有多夸张?
● 超过50家合作伙伴参与
● 累计发现10000+高危或严重级漏洞
● Cloudflare一家就找到2000个bug,其中400个高危
● Mozilla在Firefox 150中挖出271个漏洞,是上一轮的10倍
● 英国AI安全研究所认证:Mythos Preview是首个完整通过其网络靶场评估的模型
这不是科幻电影。这是正在发生的现实。
① 从"修不过来"到"AI帮你修"
软件安全领域一直有一个核心矛盾:漏洞发现的速度永远跟不上攻击手段进化的速度。
全世界有几十亿行关键代码在运行——从银行的交易系统、航空的调度系统,到电网的控制系统、医院的病历系统。
过去,网络安全的高度依赖安全研究员逐行审计代码,效率极低。一个中等规模的项目,人工审计需要数月甚至数年。
Project Glasswing的逻辑很简单:让最强的AI模型Mythos Preview去扫描全球最关键的软件,先于坏人发现漏洞。
▲ AI驱动的安全分析师工作台:探测速度远超人工
② 数字本身已经足够震撼
看看具体数字:
Cloudflare:2000个漏洞。一家支撑着全球互联网流量20%的基础设施公司,其关键路径系统被AI找出了2000个问题。Cloudflare自己的团队认为,AI的误报率比人类测试员还低。
Mozilla:271个漏洞。Firefox 150的审计结果,比上一版本(用Claude Opus 4.6)多了10倍。注意,上一版本用的也是AI,只是"弱AI"——这体现了Mythos Preview的代际飞跃。
英国AISI:第一个能同时通过两个网络攻击模拟靶场的AI模型。这意味着它不仅能找到漏洞,还能模拟真实的攻击路径。
这些数据告诉我们一件事:AI的安全能力已经进入了另一个维度。
③ 这意味着什么?
Project Glasswing的核心创新不在于"用AI找bug"(这事早有人做),而在于规模。
以前的问题是:"我们找不到足够多的漏洞"——人和资源都不够。
现在的问题是:"漏洞太多,我们修不过来"——AI找到了,但验证、披露、打补丁的速度成了瓶颈。
这听起来像个"幸福的烦恼",但实际上暴露了一个更深层的问题:整个软件安全行业的运作模式,还没有跟上AI的速度。
▲ 透明护盾面对多重攻击:AI能预判并阻挡威胁
④ 道德困境:盾和剑是一体两面
当然,Glasswing也引发了一个绕不开的讨论——
如果AI能如此高效地找到漏洞,那坏人不也能用同样的AI去攻击吗?
Anthropic的做法是:先和全球顶尖的基础设施团队合作,确保漏洞在被公开之前就已经被修复。120天的披露窗口,给了生态足够的时间打补丁。
但这个问题没有完美的答案。网络安全一直都是"盾与剑"的竞赛。AI让这两者都加速了。
关键在于,Glasswing在尝试做一件事:在坏人能用AI之前,先用AI把锁都加固好。
⑤ 对普通人的影响
你可能觉得这些跟自己没关系。
● 你用支付宝?它底层跑的代码可能是Glasswing扫描过的
● 你的银行App?核心交易系统可能就在合作名单里
● 你用的互联网服务?Cloudflare、Mozilla都在了,上面跑着你每天访问的网站
Glasswing保护的不是某个公司,而是互联网这个"公共基础设施"本身。
"软件安全曾经受限于我们找漏洞的速度。现在,它受限于我们打补丁的速度。"
——Anthropic Project Glasswing官方博客
⑥ 写在最后
一个月,10000+漏洞。这个数字背后,是一个范式转移。
网络安全的天平正在发生变化。AI不再是辅助工具,而是核心引擎。
未来的安全竞赛,比的不是谁的人多,而是谁的AI更强。
Project Glasswing给行业做了一个示范:当最强的AI愿意去干最基础的"修理工"工作,整个互联网都会变得更安全。
至少,在坏人用上同样厉害的AI之前。
——————
——————
