Project Glasswing 首月成果：Claude Mythos 自主發現一萬個高危漏洞

一個月，一萬個漏洞。Anthropic 今天公布 Project Glasswing 首月成果，數字比外界預期的更嚇人。Claude Mythos Preview 在大約 50 家合作夥伴的協作下，掃遍全球最關鍵的開源軟體，找出超過一萬個高危或嚴重等級的安全漏洞。傳統資安研究的時間尺度上，這件事根本不可能發生。

一萬個漏洞，一個月

具體數字是這樣的：Claude Mythos Preview 掃了 1,000 個以上的開源專案，共找出 23,019 個潛在漏洞，其中 6,202 個被系統評估為高危或嚴重等級。外部資安公司接手人工審查了 1,752 個案例，確認 90.6% 為真實漏洞，62.4% 確認為高危或嚴重等級。

誤判率不到 10%，這個數字已經接近頂尖人類滲透測試員的水準。

幾個合作夥伴的結果值得單獨說。Cloudflare 找到 2,000 個漏洞，其中 400 個屬高危以上。Mozilla 在 Firefox 150 發現了 271 個漏洞，是之前用 Claude Opus 4.6 掃 Firefox 148 時的十倍以上。模型能力的代差在資安這個領域裡，直接反映為發現量的數量級跳躍，這個倍率本身比任何 benchmark 都更說明問題。

最具代表性的兩個案例

所有發現裡，wolfSSL 那個漏洞值得特別提。wolfSSL 是個開源加密庫，裝在全球幾十億台設備裡，從嵌入式系統到企業應用伺服器都有。Mythos Preview 找到一個漏洞，攻擊者可以用它偽造數位憑證，讓受害者訪問假冒的可信網站。這個漏洞已取得 CVE-2026-5194 編號，目前已修補。

另一個案例來自銀行業。有家金融機構透過 Project Glasswing 的掃描即時攔截了一筆詐欺電匯，金額 150 萬美元。「AI 資安工具」從這裡開始有了具體可量化的損失預防數字，不再是抽象的技術敘事。

英國 AI 安全研究所對 Mythos Preview 的評估很直接，它是目前第一個能端到端解決網路靶場的模型。學術測試平台 ExploitBench 和 ExploitGym 的結果也一致，Mythos Preview 在這兩個基準上都是表現最強的。

瓶頸從找漏洞變成修漏洞

Anthropic 在這次更新裡有一句很準確的話：

軟體安全的進展，過去受限於我們找出新漏洞的速度。現在，受限於我們驗證、披露和修補的速度。

這句話值得停下來想一下。AI 加速資安掃描之前，漏洞研究員是生產端的瓶頸；現在，修補成了新瓶頸。目前 530 個已報告的高危漏洞裡，只有 75 個完成修補，65 個有公開安全公告，平均修補時間兩週。

開源社群的維護者大多是志願者，負擔的修補速度跟 AI 批量掃描的速度根本不在一個量級上。這個失衡如果繼續拉大，Glasswing 找到的漏洞清單本身可能會成為資訊安全風險，因為惡意行為者如果能比維護者更快反應，就能搶先利用這些已知但未修補的漏洞。

1 億額度背後的時間視窗

Anthropic 宣布為 Project Glasswing 提供 1 億美元的模型使用額度，加上 400 萬美元的資金捐助，讓更多組織和開源維護者能用 Mythos Preview 進行防禦性掃描。

這個安排有自身的邏輯。Mythos Preview 是 Anthropic 尚未正式發布的旗艦模型，在資安領域的能力已經通過外部驗證。把它用在防禦端，等於搶在攻擊者習得類似能力之前，先把最容易被利用的漏洞堵上。Anthropic 的說法是「在 AI 能力廣泛流通之前，先把防禦做好」，這個邏輯跟 Project Glasswing 的整體框架一致。

問題是，同樣的掃描能力早晚也會被其他人掌握，可能透過開源模型，可能透過其他商業路線。Glasswing 真正在爭取的是一段時間視窗。下一個值得看的數字會是 2026 Q4 的修補完成率，那才會告訴我們這個視窗到底有沒有用對。

如果這篇對你有幫助，訂閱電子報 可以第一時間收到 AI PM 實戰洞察與 GenAI 落地案例。

---

延伸閱讀：

• Project Glasswing 首月成果報告（Anthropic 官方）
• Claude Mythos 自主找出 27 年前的系統漏洞：Anthropic Project Glasswing 正式啟動
• Anthropic 首次季度盈利：Q2 預估營收 109 億美元