​Anthropic 的 Project Glasswing：发现漏洞的成就仍是谜

Anthropic的“玻璃之翼”：一场AI驱动的漏洞狩猎行动

上周，人工智能领域的一则消息引发了广泛关注：Anthropic公司宣布，其最新模型Mythos在发现安全漏洞方面能力出众，甚至“出色到可能引发混乱”。你猜怎么着？为了应对这种潜在的“混乱”，Anthropic迅速启动了一项名为“玻璃之翼”（Project Glasswing）的计划。简单来说，就是邀请50多家行业合作伙伴，提前测试这个强大的模型，目的很明确——抢在网络攻击者利用这些漏洞之前，先一步发现并修复自家产品的安全隐患。

目前，“玻璃之翼”的参与者名单尚未完全公开，但已确认的巨头就足以让人侧目：亚马逊网络服务、苹果、谷歌、微软等悉数在列。这项计划的核心逻辑非常清晰：通过与精选的企业生态合作，将Mythos的“火眼金睛”转化为实际的产品安全护盾。

数据迷雾：究竟发现了多少漏洞？

然而，计划启动后，外界最关心的问题——到底找到了多少漏洞？——却依然笼罩在一层迷雾之中。根据安全研究机构VulnCheck的研究员Patrick Garrity的分析，目前还缺乏确凿的数据来描绘全貌。

Garrity尝试从公开的CVE（通用漏洞披露）数据库中寻找线索，他搜索了所有包含“Anthropic”关键词的记录。结果找到了75条，但仔细一筛，问题来了：其中35个漏洞是针对Anthropic自家工具或第三方集成的，这部分显然不能算作“玻璃之翼”的成果。

那么，剩下的40个呢？它们可能与“玻璃之翼”相关，但归属仍无法确定。Garrity进一步分析发现，这40个漏洞的来源颇为多元，涉及Anthropic的核心研究团队、知名独立研究员Nicholas Carlini，以及安全研究公司Calif.io。话说回来，要把“玻璃之翼”的功劳单独剥离出来，确实不是件容易的事。

漏洞分布：浏览器与加密库成“重灾区”

从这40个可能相关的漏洞类型来看，分布情况很有意思。其中，多达28个漏洞与Mozilla的Firefox 浏览器有关；另外9个存在于wolfSSL这款嵌入式SSL/TLS加密库中；此外，F5的NGINX Plus应用交付平台、FreeBSD和OpenSSL也各有1个漏洞被记录在案。

目前，唯一一个能明确与“玻璃之翼”直接挂钩的CVE编号是CVE-2026-4747。这是一个远程代码执行漏洞，危害性不小——允许攻击者获得在FreeBSD系统上运行NFS（网络文件系统）服务的机器的最高权限（root）。尽管Anthropic在沟通中提到过其他漏洞，但这些漏洞尚未被分配正式的CVE编号，因此难以在公开数据库中追踪。

期待透明：行业呼唤更清晰的披露

Garrity指出，关于“玻璃之翼”的完整成效，公众和行业仍需等待更详细的信息披露。Anthropic预计在2026年7月发布一份总结报告。对此，一个积极的建议是：Anthropic可以考虑建立一个专门的安全公告页面。这样做的好处显而易见，既能系统化地披露其研究团队及“玻璃之翼”计划的发现，也能向外界展现更高的透明度与责任感，这对于建立技术信任至关重要。

划重点：

?️ Anthropic 启动 Project Glasswing，允许 50 多家公司使用其模型 Mythos 进行漏洞测试。

? 目前未确定 Project Glasswing 发现的漏洞数量，只有 40 个可能与该计划相关。

? 预计到 2026 年 7 月，Anthropic 将发布关于漏洞发现的公开总结报告。