事件经过
Anthropic在Project Glasswing项目下发布了Claude Mythos Preview,这是一个受控访问程序,使Microsoft、Amazon、Apple和精选合作伙伴能够使用AI进行漏洞发现。Mythos在Firefox中发现了271个漏洞(已在v150中修补),Mozilla确认所有漏洞都可能被精英人类研究人员发现,但速度前所未有。Microsoft宣布将其集成到安全开发生命周期(SDL)中,以更快地识别和修复漏洞。
影响分析
这标志着能够以机器速度发现漏洞的AI模型首次投入生产部署,从根本上改变了攻防安全的经济学。随着漏洞发现从天加速到分钟,组织必须重新评估补丁周期和优先级策略(Anthropic推荐EPSS评分)。受控推出也表明行业认识到不受限制地访问此类能力会带来系统性风险。
适用范围
任何维护软件的组织都应该评估:(1)他们的补丁周期是否能够处理AI发现的漏洞数量,(2)他们是否有资格作为防御合作伙伴获得Project Glasswing访问权限,(3)他们的红队如何模拟AI加速的攻击。优先考虑EPSS集成和运行时检测,而不是静态评估。