事件经过
Anthropic于2026年5月22日发布了Project Glasswing的首次更新,披露其受限的Claude Mythos Preview模型——与包括Microsoft、Apple、Google和Cloudflare在内的约50个合作伙伴部署——在运行第一个月内在关键软件中发现了超过10,000个高危和严重漏洞。合作伙伴报告漏洞发现率比之前的方法提高了10倍以上;仅Cloudflare就发现了2,000个漏洞(400个高危/严重),误报率优于人工测试员。Mythos Preview能够自主构建多阶段利用链——将低危原语链接成高危攻击——并在自我纠错循环中生成有效的概念验证。UK AI Security Institute确认Mythos Preview是首个完全端到端解决其两个多步网络攻击模拟范围的模型。Anthropic为不在受限Glasswing联盟内的企业推出了Claude Security (Opus 4.7)公测版,已帮助修补了2,100个企业漏洞。
影响分析
这是迄今为止最清晰的经验证据,证明AI辅助漏洞发现已跨越质的门槛:瓶颈不再是发现漏洞,而是比对手能够武器化相同能力更快地验证、协调和修补漏洞。运行季度扫描或月度维护窗口补丁制度的组织在结构上准备不足;披露中引用的Mandiant's M-Trends 2026数据显示,攻击者现在平均在补丁发布*前*7天就利用漏洞。由于Mythos不对一般用户开放,在Glasswing联盟中运营的防御者拥有不对称优势,但随着对手获得可比较的开源或中国市场模型,这种优势不会无限期持续。
适用范围
所有企业都应立即根据7天补丁前利用基线审查补丁管理SLA,在即将到来的90天协调披露窗口期内优先处理公开的Glasswing CVE披露(通过NVD跟踪),并评估Anthropic的Claude Security公测版以获得辅助修复。金融服务、医疗保健和关键基础设施公司应向董事会简报,高危漏洞的披露率将在2026年剩余时间内继续大幅增加。