技术说明
Anthropic的Project Glasswing项目于2026年5月22-23日披露,Claude Mythos Preview自主发现了CVE-2026-5194,这是WolfSSL密码学库中的一个关键缺陷 (CVSS 9.1) — 该库广泛用于嵌入式系统、IoT和TLS协议栈 — 允许攻击者伪造X.509证书并无形中冒充合法服务,包括银行和邮件域名。Mythos Preview不仅识别了该缺陷,还构建了一个可工作的漏洞利用程序来演示证书伪造。更广泛地说,Anthropic扫描了1,000+个广泛使用的开源项目,发现了6,202个高危或关键严重程度的漏洞,经外部安全公司审查确认的真阳性率达90.8%。截至披露时,最初报告的漏洞中只有97个已在上游修复,暴露了一个严重瓶颈:志愿的开源维护者被高质量的AI生成漏洞披露压垮。Glasswing发现的CVE完整目录将按照90天协调披露计划在补丁可用时披露。
攻击途径
具体针对CVE-2026-5194:能够伪造WolfSSL证书的攻击者可以对依赖WolfSSL进行TLS验证的系统执行HTTPS冒充攻击,实现中间人拦截而不触发证书警告。对于更广泛的Glasswing目录:Mythos Preview演示了漏洞利用链构造 — 自主地将多个低严重程度漏洞串联成单个高严重程度利用,这意味着这6,200+个缺陷的风险面比单独的CVSS评分所暗示的要高得多。
受影响系统
WolfSSL密码学库(修复版本之前的所有版本 — 补丁状态有待根据WolfSSL公告确认);Glasswing扫描程序中的1,000+个开源项目,共同支撑着互联网基础设施、云服务和企业软件栈的重要部分。
缓解措施
针对CVE-2026-5194:监控WolfSSL公告 (https://www.wolfssl.com/docs/security-vulnerabilities/) 获取协调补丁发布信息;一旦可用立即应用。针对更广泛的Glasswing目录:订阅Anthropic的Glasswing CVE披露源,并将任何新的Glasswing归因CVE视为高优先级分类处理。扩展漏洞分类流程以使用可利用性上下文(EPSS评分、KEV状态、可达性)而非仅依赖原始CVSS — 预期在2026年大量确认的高危/关键披露将压垮仅依赖严重程度评分的团队。为在关键路径中使用WolfSSL的系统实施补偿控制(严格证书固定、mTLS、网络分段)。