Project Glasswing:Claude Mythos 一个月内发现逾 1 万个严重漏洞
Anthropic 于 2026 年 5 月 26 日发布的阶段性更新显示,Project Glasswing 的约 50 家合作伙伴使用 Claude Mythos Preview 共发现了 1 万余个高危或严重漏洞,其中包括 Firefox 150 修复的 271 个潜伏缺陷。
这是什么?
2026 年 5 月 26 日,Anthropic 发布了《Project Glasswing: An initial update》。项目启动一个月后,该公司报告称约 50 家合作组织借助 Claude Mythos Preview(一款尚未公开发布、具备较强进攻性网络安全能力的前沿模型)在具有系统重要性的软件中识别出了逾 1 万个高危或严重漏洞。多家合作伙伴反映,其内部漏洞发现速率提升了十倍以上。
防御者最容易记住的数字来自 Mozilla。2026 年 5 月 7 日 Mozilla Hacks 的一篇博客披露,Firefox 安全团队借助 Mythos Preview 共识别出 271 个潜伏漏洞,并在 Firefox 150 中完成修复,其中高危 180 个、中危 80 个。Mozilla 公告中明确将三个漏洞归功于 Claude:CVE-2026-6746、CVE-2026-6757、CVE-2026-6758。Cloudflare 则报告在其关键路径系统中发现 2 000 个缺陷(其中 400 个为高危或严重),误报率被团队认为优于人工测试人员。
Project Glasswing 的首批合作伙伴包括 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux 基金会、Microsoft、NVIDIA 和 Palo Alto Networks。Claude Mythos Preview 并未面向公众开放;Anthropic 已表示,将在安全防护被认为足够成熟后,把 Mythos 级别的模型向公众发布。
工作原理
Mythos Preview 并非专门的安全扫描工具,而是一款通用的前沿模型,其编码能力已跨越 Anthropic 所称的进攻性网络门槛。英国 AI Safety Institute 的部署前评估显示,该模型在企业网络攻击 32 步模拟中十次中能完成三次,可以将多个小型缺陷串联成端到端入侵。
合作伙伴并非简单地把 Mythos 指向代码库后等待结果。Mozilla 的说明描述了一套针对代码库定制的智能体框架,将 Mythos 与其他前沿模型结合,接入项目的构建系统、测试脚手架与分诊流程。所有缺陷在进入修复队列前都要经过人工审查。
阶段 运行内容 产出
--------------------- ------------------------------ --------------------------------
框架搭建 项目专属工具、构建图、测试 每个目标的智能体脚手架
运行器
智能体扫描 Mythos Preview + 辅助前沿模型 候选发现 + 推理轨迹 + PoC 尝试
过滤 / 去重 管道规则 + 轻量级 LLM 分诊 高信号发现队列
人工分诊 Mozilla / 合作方安全团队 确认的缺陷、CVE 决策、修复规划
打补丁 + 发布 标准发布流程 Firefox 150 / 公告条目信噪比的提升至关重要。在 2025 年底之前,提交给开源项目的 AI 生成漏洞报告大多属于slop——表面合理、往往错误、分诊成本高昂。两件事改变了局面:模型现已能用代码验证自身论断;而像 Mozilla 这样的项目学会了在反映自身代码库的框架内引导、扩展并叠加模型,而不再把 LLM 当成黑盒扫描器。Anthropic 报告称,其内部对 1 000 多个开源项目的扫描在分诊后真阳率约为 90%,从 23 019 条原始问题收敛到 6 202 个高危/严重条目,审查完成后有望最终筛出约 3 900 个开源高危/严重漏洞。更新中的一个具体案例:Mythos 在 wolfSSL 中发现了一处缺陷,并构造了一个利用方式,可让攻击者伪造证书以仿冒银行或邮件服务商——已按协调披露流程公开并修复。
本文不复现任何利用代码或 payload。Anthropic 的更新、Mozilla Hacks 博客、SecurityWeek 与 Help Net Security 的报道,以及 Simon Willison 5 月 7 日的链接博客是相关权威参考。
为何重要
三个特征让当前这一阶段与以往的「AI 用于 AppSec」周期有质的区别。
第一,规模兼具质量。一个月内识别 1 万个高危/严重缺陷,大约比合作组织此前的速率高出一个数量级。Cloudflare 的比较——误报率优于经验丰富的人工测试人员——使该项目从「值得关注」转向「投入运营」。
第二,同一模型既能发现也能武器化。Mythos 既识别了 wolfSSL 的缺陷,又构造了证书伪造的利用链;英国 AISI 的评估显示该模型具备多步入侵行为。Anthropic 在 Project Glasswing 启动页上明确指出:推出该计划,是因为多家公司很快都会研发出具备此类能力的模型,而目前还没有人交付出能让此类模型公开发布的足够安全防护。防御用途真实存在,双重用途的风险同样真实。
第三,一种新的治理模式正在公开试验中。Anthropic 既未选择全面发布,也未选择完全保密。Mythos Preview 通过限制访问的伙伴计划分发给少数关键基础设施合作方,并定期公开进展更新。这套模式能否扩展——惠及盟国政府、惠及更广泛的开源生态、惠及没有思科级安全团队的中型厂商——是未来 12 个月的政策核心议题。
防御建议
针对此类 AI 能力,没有单一的「灵丹妙药」式缓解。结合上述 Mozilla、Anthropic 与 Cloudflare 报告,可提炼如下防御要点:
- **假设你的边界之外已存在同等进攻能力的模型。**应将威胁模型设定为:12-24 个月内,非 Glasswing 的攻击者将拥有与 Mythos 同等水平的工具。Firefox 公告所突出的内存安全类(use-after-free、OOB 读/写)、TOCTOU 以及加密误用,仍是高产出的攻击目标。
- **将关键路径迁移到内存安全语言。**Firefox 150 中由 Claude 发现的最危险缺陷都是 DOM 与 WebRTC 组件中的 UAF。浏览器、内核与协议解析器采用 Rust 或其他「构造即安全」的语言,是唯一的结构性防御——其他控制都只是争取时间。
- **投入建设自有的 AI 辅助代码审计管线。**未加入 Glasswing 的厂商,仍可在项目专属的框架内运行开放的前沿模型。Mozilla 的蓝图——在 prompt 中加入代码库语义、用确定性检查过滤模型输出、人工只在过滤后介入——无需 Mythos 级能力即可复制。
- **建立面向 AI 量级的协调披露能力。**习惯于每季度处理 1-2 份公告的维护者,无法在一次发布中消化 271 个公告。开源项目应刷新
security.txt,预案应对批量公告,并考虑与 CNA 协商预分配 CVE 区块。 - **推动 AI 相关 CVE 归属的清晰化。**Mozilla 在 Firefox 150 的 40 多个 CVE 中只对 3 个明确归功于 Claude。社区需要为 AI 辅助发现建立明确的归属约定,验证可复现性,并区分「AI 发现了它」与「AI 替攻击者写了它」。
- **关注访问控制模式本身。**Glasswing 等限制访问计划本身就是一项治理实验。未加入计划的关键基础设施防御者,应主动询问其供应商:所依赖的软件是否在接受 AI 辅助加固,以及如何加固。
- **不要寄希望于「门」永远关着。**Anthropic 已公开表示一旦安全防护就绪即会发布 Mythos 级模型,而且无论如何,其他实验室也会出现同等能力。请为「门」打开的那一天做好准备。
现状
| 项目 | 参考 | 日期 | 说明 |
|---|---|---|---|
| Anthropic 更新 | Project Glasswing: An initial update | 2026-05-26 | 约 50 家合作伙伴,1 万+ 高危/严重漏洞 |
| Mozilla 文章 | Mozilla Hacks | 2026-05-07 | Firefox 150 中 271 个漏洞(高危 180、中危 80) |
| 公开归属 | Firefox 150 公告 | 2026-05 | CVE-2026-6746、CVE-2026-6757、CVE-2026-6758 |
| Cloudflare 贡献 | Anthropic 更新 | 2026-05-26 | 2 000 个缺陷 / 400 个高危或严重 |
| 开源扫描 | Anthropic 更新 | 2026-05-26 | 23 019 条原始,6 202 高/严重,~90% 真阳 |
| 具体案例 | wolfSSL 证书伪造 | 2026-05 | 缺陷与利用均由 Mythos 构造 |
| 部署前评估 | UK AISI | 2026-04 | 32 步网络攻击,3/10 成功 |
| 分发模式 | Project Glasswing | 2026-04 起 | 仅限合作伙伴的受控访问 |
「AI 找到了 1 万个缺陷」这种头条式解读低估了真正的赌注。Project Glasswing 是首个前沿实验室尝试将具备进攻能力的模型送入防御端供应链——同时不将其交给所有人。这种受控发布模式最终成为常态,还是被别处下一次同等能力的发布所超越,将决定本十年余下时间 AppSec 的走向。
Sources
- → https://www.anthropic.com/research/glasswing-initial-update
- → https://www.anthropic.com/glasswing
- → https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/
- → https://simonwillison.net/2026/May/7/firefox-claude-mythos/
- → https://www.helpnetsecurity.com/2026/05/26/anthropic-project-glasswing-update/
- → https://www.securityweek.com/claude-mythos-finds-271-firefox-vulnerabilities/
- → https://www.schneier.com/blog/archives/2026/04/claude-mythos-has-found-271-zero-days-in-firefox.html