AI 扫漏洞快了 10 倍，但打补丁还要两周

日期：2026/05/23

核心判断

Anthropic 联合 50 家合作机构，用一个月时间发现了超过 10,000 个高危或严重级别的软件漏洞。发现本身已经不是难题——难题变成了修复：高危漏洞从被发现到完成补丁，平均需要两周。这两周是攻防不对称的真实窗口，也是 Project Glasswing 最值得关注的结论。

发生了什么

以下事实来自 Anthropic 官方博客发布的 Project Glasswing 初步进展报告（2026 年 5 月 22 日）：

项目结构：Project Glasswing 是 Anthropic 与约 50 家机构合作伙伴共同推进的主动防御计划。核心工具是 Claude Mythos Preview——一个 Anthropic 目前"因防护措施不足"而未公开发布的高能力安全模型。

一个月的发现量：各合作机构合计发现超过 10,000 个高危或严重级别漏洞。Cloudflare 在一个月内找到 2,000 个 bug，且误报率"比人工测试员更低"。Mozilla 用 Mythos Preview 扫描 Firefox 150，发现 271 个漏洞——超过用早期 Claude 模型扫前一版本所得结果的 10 倍。

开源生态扫描：Anthropic 独立扫描超过 1,000 个开源项目，识别出约 6,202 个高危漏洞。经独立安全机构评估：90.6% 属实，其中 62.4% 被确认为高危或严重级别。

wolfSSL 案例：Mythos Preview 成功构造了一个针对 wolfSSL 库的利用链，攻击者可通过该漏洞伪造 TLS 证书。

修复是真正的瓶颈：找到漏洞只是开始。从漏洞发现到补丁完成，平均耗时两周。在此期间，漏洞信息必须在泄露给攻击者之前得到控制——包括验证、协调披露、开发修复、测试、部署整个流程。

公开发布的限制：Anthropic 表示，Mythos Preview 尚未对外发布，原因是"防护措施还不够充分"。但报告明确指出，类似能力级别的模型"很快将通过其他途径普遍可用"。

为什么值得关注

Project Glasswing 揭示的不是"AI 能找漏洞"，这件事早已知道。它揭示的是发现和修复之间的速度差已经大到足以成为系统性风险：

扫描速度的变化是量级级别的。Mozilla 同样的扫描对象，换一个更强的模型，发现量从 X 变成 10X。按这个轨迹，模型能力每进一步，发现速度还会加快。但修复链条——人工验证、协调、开发、测试、部署——的速度改进慢得多，不会自动跟上。

Anthropic 用的是"防护措施不够充分"来解释为什么不发布 Mythos Preview，但同时承认类似能力即将通过其他途径可用。这意味着防御方需要在模型能力扩散之前建立好修复流程的加速机制，否则发现窗口的扩大只会让攻击者受益。

10,000 个漏洞不是 Glasswing 的成就，是已经存在于生产系统中、等着被发现的问题。Glasswing 只是让它们提前被发现了。

可能影响

参考文章明确支撑的推论：

• Glasswing 的参与机构（目前约 50 家）预期扩大，修复压力也会随之扩大，因为被找到的漏洞越多，需要协调修复的工作量就越大。
• 类似 Mythos Preview 能力的模型将很快广泛可用（原文明确表述），意味着无论是否加入 Glasswing，任何机构都将面临更快速的漏洞扫描——来自防御方和攻击方。
• 补丁两周平均周期是当前人工流程的结果。原文未提到补丁自动化的具体计划；这是报告留下的一个未解问题。

参考文章未涉及对具体金融机构或监管机构的影响，本文不做推断。

参考文献

• Project Glasswing: An initial update — Anthropic