Anthropic AI安全测评：首月捕获超万高危漏洞的实战榜单

最近科技圈有个消息挺有意思：Anthropic公司的Project Glasswing项目上线才一个月，就和大约50家合作伙伴一起，揪出了超过1万个高危和关键级别的安全漏洞。这个数字一出来，确实让不少人眼前一亮——AI在网络安全这块的能耐，看来比我们想象的还要大。

合作方那边的反馈也挺实在。他们用的那个Claude Mythos Preview模型，找漏洞的本事明显见长。有些团队甚至说，效率直接翻了10倍。什么意思呢？就是以前可能要花好几天才能搞定的活儿，现在几个小时就有眉目了。这么一来，整个漏洞挖掘的流程就出现了一个有趣的转变：瓶颈不再是“怎么找到漏洞”，而是变成了“怎么去验证、披露和修补这些漏洞”。这对安全团队来说，既是好事，也是个新挑战。

具体来看几个例子。Cloudflare在他们自己的关键系统里，用这个模型发现了2000个漏洞，其中400个被划到了高危或严重的级别。而且，跟传统的人工测试方法比起来，Claude模型的误报率低了不少，准确性更高。另一边，Mozilla在最新版的Firefox 浏览器里，一口气修复了271个漏洞，这个数量是上一个版本的10倍。这些数字背后，AI在提升修复效率上的价值，已经不言而喻了。

不光是自家合作方说好，在独立的评测里，Mythos Preview模型也挺能打。英国AI安全研究所的评价是，它是第一个成功攻破两个网络攻防靶场的模型。而XBOW平台则认为，在网页利用这个具体项目上，它的表现明显比现有的其他模型要强，精度很高。

除了针对具体客户，Anthropic这几个月还对开源软件进行了一轮大规模扫描。结果呢？总共发现了23019个漏洞，涵盖了中危和低危的。经过人工复核确认，这里面有1587个是实打实的高危或严重漏洞，真实率达到了90.6%。更关键的是，即便后续不再发现新漏洞，预计最终还有将近3900个高危或严重漏洞需要处理。这个存量，不小。

不过，发现问题只是第一步，修补漏洞才是真正的硬骨头。Anthropic自己也提到，从一个高危漏洞被发现，到对应的补丁正式发布，平均需要两周时间。甚至有部分开源项目的维护者表示，面对AI生成的、海量的漏洞报告，他们有点接不住了，不得不主动要求放慢漏洞披露的节奏。这种情况对安全团队意味着什么？很简单，未来的工作压力，只会更大。

简单总结一下：

AI找漏洞的速度和数量确实上来了，这是能力的体现；传统检测方法误报率高的问题有所缓解，修复效率得以提升；但随之而来的，是修补环节承受的巨大压力，整个漏洞管理的流程正在面临新的平衡考验。