AI 重构网络安全：从 Anthropic Glasswing 看漏洞发现新范式

AI巨头Anthropic近日正式推出名为“Glasswing”的网络安全计划该计划基于其Claude Mythos Preview模型构建。公司宣称这款模型代表“AI时代的网络安全”能够实现大规模自主软件漏洞识别。The $15 Billion Wake-Up Call: How Anthropics Claude Code Security Just Rewrote the Rules of Cybersecurity | by Faisal haque | Feb, 2026 | Artificial Intelligence in Plain EnglishAnthropic并未将该模型全面公开而是严格限制访问权限仅开放给由40多家企业组成的封闭联盟。联盟成员包括亚马逊、微软、苹果、Alphabet旗下谷歌、Linux基金会以及CrowdStrike、Palo Alto Networks和思科等安全领域领先厂商。漏洞挖掘经济模式面临变革OWASP创始人、Contrast Security首席技术官Jeff Williams表示“Mythos揭示了第一个多米诺骨牌效应一旦前沿AI能够进行大规模漏洞挖掘为常规发现支付人类报酬的逻辑就开始瓦解。”早期测试显示该模型已在操作系统、浏览器等广泛使用的软件中发现数千个高危漏洞。其中部分漏洞长期存在未被察觉——包括OpenBSD中一个持续27年的缺陷。该系统长期被视为最安全的操作系统之一广泛应用于关键基础设施。OpenBSD - Wikipedia与许多早期AI能力声明类似这些成果主要来自自我报告虽部分可外部验证但已清晰指向一个趋势漏洞发现正变得更加自动化和规模化。这一转变引发了对安全工作组织方式及价值评估的深刻思考。Williams认为这种颠覆源于经济因素——AI系统若能大规模发现漏洞依赖人工漏洞挖掘尤其是常规发现的必要性将大幅减弱。但影响远不止于漏洞赏金计划。“这不仅威胁漏洞赏金”他表示“还威胁到‘安全可以事后修补’的整个理念。安全积压的时代即将迎来终结。”Why the Most Technically Skilled Hackers Are Not the Ones Earning the Highest Bug Bounty Payouts | by R.H Rizvi | Mar, 2026 | Medium从积压管理到暴露窗口风险Williams指出问题核心不在于存在多少漏洞而在于如何管理它们。“Mythos让一件事变得非常清楚”他说“这不是优先级问题而是暴露窗口问题。”传统漏洞管理围绕优先级展开——根据严重性、可利用性和业务影响排序然后逐步修复。Williams认为未来真正的限制因素不再是组织如何确定优先级而是漏洞暴露时间的长短。适应AI驱动的网络防御思科高级副总裁兼首席安全与信任官Anthony Grieco将这一发展置于更广泛的操作背景中。他在博客中表示组织必须“迎接AI驱动网络防御的时代”这反映了威胁态势和应对能力的深刻变化。作为Glasswing项目参与者之一思科加入了Anthropic所称的“将先进AI能力应用于防御性安全用例”的合作努力。Grieco强调安全计划需要随着AI能力的快速发展而持续演进。Generative AI can be used to build better security, says Anthony Grieco of Cisco - BusinessToday“AI能力将持续进步威胁面将不断演变保护互联网的组织需要以机器的速度和网络的规模运作”Grieco表示“我们现在经历的许多事情在几年前还难以想象。没有终点线只有保持领先于对手的承诺。”Artificial Intelligence (AI) in Cybersecurity: The Future of Threat Defense向上游转移与控制权问题Williams指出“未来属于能够可靠生产安全代码并提供证明保证的软件工厂。”这一观点指向将安全性从部署后修补转向开发过程内置的模式。Grieco对适应AI驱动威胁的强调与这一方向高度一致突显组织需更新工具并调整对安全条件变化速度的假设。与此同时这些先进能力如何广泛传播仍存疑问。Anthropic选择限制对Mythos Preview的访问反映了此类系统潜在的双重用途——既能大规模识别软件漏洞也可能加速其被恶意利用。Williams表示“Anthropic能否有效限制该模型的恶意使用非常值得怀疑。”Anthropic已承诺为Glasswing项目提供1亿美元模型使用额度参与者预计将在研究预览期间贡献额外使用量。Claude Mythos Preview将通过Claude API、Amazon Bedrock、Google Cloud Vertex AI和Microsoft Foundry提供。该公司还承诺资助开源安全工作包括向Alpha-Omega、OpenSSF和Apache软件基金会捐款以支持应对这些变革的维护者。有意获取访问权限的维护者可通过Claude for Open Source项目申请。